คริปโทเคอร์เรนซีมูลค่ากว่า 300 ล้านดอลลาร์สหรัฐ ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ และการฉ้อโกง ถูกอายัดไว้จากความร่วมมือระหว่างหน่วยงานบังคับใช้กฎหมาย และบริษัทเอกชน ผ่านการดำเนินงานที่แยกกันอย่างอิสระ

หนึ่งในปฏิบัติการสำคัญคือโครงการ T3+ Global Collaborator Program ที่จัดตั้งขึ้นโดยหน่วยงาน T3 Financial Crime Unit (T3 FCU) ซึ่งเป็นโครงการระหว่าง TRM Labs, TRON และ Tether และเริ่มดำเนินการเมื่อราวหนึ่งปีก่อน โดยมี Binance ในฐานะสมาชิกอย่างเป็นทางการรายแรก โดยทั้งหมดล้วนเป็นองค์กรชั้นนำในแวดวงบล็อกเชน

TRM Labs เปิดเผยว่า ตั้งแต่เริ่มโครงการในเดือนกันยายน 2024 เป็นต้นมา ได้มีการอายัดทรัพย์สินที่เกี่ยวข้องกับอาชญากรรมทั่วโลกมูลค่ากว่า 250 ล้านดอลลาร์สหรัฐ โดยในจำนวนนี้มีเงิน 6 ล้านดอลลาร์สหรัฐที่ถูกอายัดจากความร่วมมือกับ Binance เพื่อปราบปรามกลโกงแบบ Romance Baiting

นอกจากนี้ TRM Labs ยังรายงานว่า หน่วยงาน T3 FCU ได้ทำงานอย่างใกล้ชิดกับหน่วยงานบังคับใช้กฎหมายทั่วโลก ตั้งแต่ก่อตั้งในเดือนกันยายน 2024 โดยได้ตรวจสอบธุรกรรมหลายล้านรายการในห้าทวีป และติดตามการเคลื่อนไหวทางการเงินรวมกว่า 3 พันล้านดอลลาร์สหรัฐ เพื่อขัดขวางเครือข่ายอาชญากรรมอย่างมีประสิทธิภาพ

ตลอดระยะเวลาการดำเนินงาน T3 FCU มีบทบาทสำคัญในการสนับสนุนการสอบสวนคดีฟอกเงิน, ฉ้อโกงการลงทุน, การข่มขู่เรียกทรัพย์, การจัดหาเงินทุนแก่การก่อการร้าย และอาชญากรรมทางการเงินขั้นรุนแรงอื่น ๆ ทั่วโลก

ปฏิบัติการครั้งที่สองนี้เกิดขึ้นจากการร่วมมือระหว่างสหรัฐอเมริกา และแคนาดา โดยได้รับการสนับสนุนจากผู้เชี่ยวชาญด้านข่าวกรองบล็อกเชนของ Chainalysis

ความร่วมมือครั้งนี้นำไปสู่การปฏิบัติการสำคัญ 2 โครงการ ได้แก่ "Project Atlas" ซึ่งนำโดยตำรวจออนแทรีโอ (OPP) และ "Operation Avalanche" ซึ่งนำโดยคณะกรรมการกำกับหลักทรัพย์ของบริติชโคลัมเบีย (BCSC) โดยทั้งสองปฏิบัติการนี้ได้ใช้ข้อมูลวิเคราะห์จาก Chainalysis ในการติดตามเงินที่ได้จากการหลอกลวง

ตามรายงานจากแพลตฟอร์มข้อมูลบล็อกเชน การสืบสวนในช่วงหกเดือนที่ผ่านมาได้ค้นพบความสูญเสียจากการฉ้อโกงหลายรูปแบบรวมมูลค่ากว่า 74.3 ล้านดอลลาร์สหรัฐ ซึ่งส่วนใหญ่ถูกอายัดไว้แล้ว

Chainalysis ระบุในแถลงการณ์ว่า “โครงการ Atlas ซึ่งดำเนินการจากแคนาดาแต่มีขอบเขตการทำงานระดับโลก สามารถระบุที่อยู่กระเป๋าเงินคริปโทเคอร์เรนซีที่เกี่ยวข้องกับเหยื่อการฉ้อโกงกว่า 2,000 แห่งใน 14 ประเทศ รวมถึงแคนาดา, สหรัฐอเมริกา, ออสเตรเลีย, เยอรมนี และสหราชอาณาจักร”

“ด้วยความร่วมมือโดยตรงกับ Tether บริษัทสามารถบล็อกเงิน USDT มูลค่ากว่า 50 ล้านดอลลาร์สหรัฐ ทำให้มิจฉาชีพไม่สามารถเคลื่อนย้าย หรือแปลงสินทรัพย์ที่ถูกขโมยเหล่านี้ได้”

ทั้งสองปฏิบัติการ ผสานการสืบสวนอย่างเข้มข้นควบคู่กับความร่วมมือในระดับโลกอย่างเป็นระบบ เพื่อจับตา และเข้าแทรกแซงในระดับบล็อกเชน ส่งผลให้การเคลื่อนย้าย หรือใช้จ่ายเงินที่ได้จากการฉ้อโกงของอาชญากรไซเบอร์ถูกจำกัดลงอย่างมาก

ที่มา : bleepingcomputer.

เมื่อช่วงต้นเดือนที่ผ่านมา พบการโจมตีแบบ Brute-force ที่เพิ่มสูงขึ้นอย่างมากมุ่งเป้าไปที่ SSL VPN ของ Fortinet ตามมาด้วยการเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งแสดงถึงการเปลี่ยนเป้าหมายอย่างจงใจที่มักเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่ ๆ ในอดีต

แคมเปญการโจมตีครั้งนี้ถูกตรวจพบโดยแพลตฟอร์มเฝ้าระวังภัยคุกคาม GreyNoise โดยเหตุการณ์เกิดขึ้นเป็นสองระลอกในวันที่ 3 และ 5 สิงหาคมที่ผ่านมา ในระลอกที่สองได้มีการเปลี่ยนเป้าหมายการโจมตีไปที่ FortiManager โดยใช้ TCP signature ที่แตกต่างออกไป

ตามที่ GreyNoise เคยรายงานไว้ก่อนหน้านี้ว่า การเพิ่มขึ้นของการสแกนระบบ และการโจมตีแบบ Brute-force ที่มีเป้าหมายในลักษณะนี้ มักเป็นสัญญาณที่เกิดขึ้นก่อนการเปิดเผยช่องโหว่ความปลอดภัยใหม่ ๆ ถึง 80% ของกรณีทั้งหมด

โดยทั่วไป การสแกนลักษณะนี้มีเป้าหมายเพื่อระบุจำนวน และตำแหน่งของระบบที่เข้าถึงได้จากภายนอก, ประเมินความสำคัญของเป้าหมายเหล่านั้น และคาดการณ์ศักยภาพในการโจมตี ซึ่งหลังจากนั้นไม่นานมักจะตามมาด้วยการโจมตีจริงในเวลาต่อมา

GreyNoise แจ้งเตือนว่า “งานวิจัยล่าสุดแสดงให้เห็นว่า การเพิ่มขึ้นของการโจมตีลักษณะนี้มักเป็นสัญญาณเตือนก่อนจะมีการเปิดเผยช่องโหว่ใหม่ที่กระทบกับผู้จำหน่ายรายเดียวกัน โดยส่วนใหญ่จะเกิดขึ้นภายใน 6 สัปดาห์"

“ในความเป็นจริง GreyNoise พบว่าการเพิ่มขึ้นของกิจกรรมที่ทำให้ tag นี้ มีความเชื่อมโยงอย่างมีนัยสำคัญกับช่องโหว่ที่จะถูกเปิดเผยในอนาคตของผลิตภัณฑ์ Fortinet”

ด้วยเหตุนี้ ผู้ดูแลระบบจึงไม่ควรมองข้ามการโจมตีที่เพิ่มขึ้นเหล่านี้ว่าเป็นเพียงความพยายามที่ล้มเหลวในการโจมตีโดยใช้ประโยชน์จากช่องโหว่เก่าที่ได้รับการแก้ไขแล้ว แต่ควรพิจารณาว่าอาจเป็นสัญญาณเตือนล่วงหน้าของการเปิดเผยช่องโหว่แบบ Zero-day และควรยกระดับมาตรการรักษาความปลอดภัยให้แข็งแกร่งเพิ่มขึ้นเพื่อรับมือกับภัยคุกคาม

การโจมตีแบบ Brute-force ต่อ Fortinet

เมื่อวันที่ 3 สิงหาคม 2025 ทาง GreyNoise ได้ตรวจพบความพยายามในการโจมตีแบบ Brute-force ที่มุ่งเป้าไปยัง Fortinet SSL VPN เพิ่มสูงขึ้นอย่างรวดเร็ว โดยการโจมตีนี้เป็นส่วนหนึ่งของกิจกรรมที่เกิดขึ้นอย่างต่อเนื่องซึ่งทางบริษัทได้เฝ้าระวังมาตั้งแต่ก่อนหน้านี้แล้ว

การวิเคราะห์ fingerprint แบบ JA4+ เป็นวิธีการตรวจจับ network fingerprinting เพื่อระบุ และจำแนกประเภท traffic ที่เข้ารหัส พบว่าการโจมตีที่เพิ่มสูงขึ้นนี้มีความเชื่อมโยงกับกิจกรรมในเดือนมิถุนายน โดยมีต้นทางมาจากอุปกรณ์ FortiGate ที่ใช้ IP address สำหรับที่พักอาศัยซึ่งเกี่ยวข้องกับบริษัท Pilot Fiber Inc.

กลุ่มแรนซัมแวร์ Crypto24 ได้ใช้เครื่องมือพิเศษที่พัฒนาขึ้นเองในการโจมตี เพื่อหลบเลี่ยงการตรวจจับจากอุปกรณ์ด้านความปลอดภัยในเครือข่าย และเข้ารหัสไฟล์ รวมถึงขโมยข้อมูลออกไป

ปฏิบัติการของกลุ่มนี้ถูกพบครั้งแรกในฟอรั่มของ BleepingComputer เมื่อเดือนกันยายน 2024 แม้ในช่วงแรกจะไม่ได้มีชื่อเสียงมากนัก

นักวิจัยจาก Trend Micro ที่ติดตามพฤติกรรมของกลุ่ม Crypto24 พบว่า ผู้โจมตีกลุ่มนี้ได้โจมตีองค์กรขนาดใหญ่หลายแห่งในสหรัฐอเมริกา, ยุโรป และเอเชีย โดยเน้นเป้าหมายที่มีมูลค่าสูง เช่น ภาคการเงิน, การผลิต, ด้านความบันเทิง และด้านเทคโนโลยี

นักวิจัยด้านความปลอดภัยระบุว่า กลุ่ม Crypto24 มีความรู้ และความชำนาญ ซึ่งแสดงให้เห็นว่ามีความเป็นไปได้มากที่กลุ่มนี้ก่อตั้งโดยอดีตสมาชิกหลักของกลุ่มแรนซัมแวร์ที่ยุติการปฏิบัติการไปแล้ว

พฤติกรรมหลังการโจมตีระบบ

หลังจากได้สิทธิ์เข้าถึงระบบในครั้งแรก ผู้โจมตีกลุ่ม Crypto24 จะเปิดใช้งานบัญชีผู้ดูแลระบบที่เป็นค่าเริ่มต้นบนระบบ Windows ภายในเครือข่ายองค์กร หรือสร้างบัญชีผู้ใช้ใหม่ เพื่อใช้สำหรับการเข้าถึงแบบเงียบ ๆ และแฝงตัวอยู่ในระบบได้อย่างต่อเนื่อง

จากนั้นจะเข้าสู่ขั้นตอนการ reconnaissance โดยใช้ batch file ที่พัฒนาขึ้นเอง พร้อมใช้คำสั่งในการดึงข้อมูลรายชื่อบัญชีผู้ใช้, รายละเอียดฮาร์ดแวร์ของระบบ และโครงสร้างของดิสก์ ซึ่งต่อมาผู้โจมตีจะสร้าง Windows services และ scheduled tasks ที่เป็นอันตรายเพื่อใช้ในการแฝงตัวอยู่ในระบบ

อันแรก WinMainSvc เป็น keylogger service สำหรับดักจับการพิมพ์ของผู้ใช้ และอันที่สอง MSRuntime เป็น ransomware loader

ต่อมากลุ่ม Crypto24 จะใช้เครื่องมือโอเพ่นซอร์ส RealBlindingEDR เวอร์ชันพิเศษ ซึ่งมีเป้าหมายโจมตี agent ของซอฟต์แวร์รักษาความปลอดภัยจากผู้ผลิตหลายราย โดยปิดการทำงานของ kernel driver เช่น

Trend Micro
Kaspersky
Sophos
SentinelOne
Malwarebytes
Cynet
McAfee
Bitdefender
Broadcom (Symantec)
Cisco
Fortinet
Acronis

RealBlindingEDR เวอร์ชันพิเศษของกลุ่ม Crypto24 จะดึงชื่อบริษัทจากข้อมูล metadata ของ driver มาเปรียบเทียบกับรายชื่อที่ฝังไว้ในโค้ด และถ้าพบว่าตรงกัน จะปิดการทำงานของ hooks/callbacks ในระดับ kernel เพื่อปิดการตรวจจับของเครื่องมือ

สำหรับผลิตภัณฑ์ของ Trend Micro รายงานระบุว่า ถ้าผู้โจมตีมีสิทธิ์ administrator จะรัน batch script ที่เรียกใช้โปรแกรม ‘XBCUninstaller.

Cisco ได้ออกประกาศแจ้งเตือนถึงช่องโหว่ระดับ Critical ที่อาจทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution - RCE) ได้ ใน RADIUS subsystem ของซอฟต์แวร์ Secure Firewall Management Center (FMC)

(more…)

ผู้โจมตีกำลังใช้ตัวอักษร Unicode เพื่อสร้างลิงก์ฟิชชิงที่ดูคล้ายกับ Booking.com โดยใช้ตัวอักษรฮิรางานะของญี่ปุ่น “ん” ซึ่งบางระบบอาจแสดงผลเป็นเครื่องหมาย / ทำให้ URL ดูสมจริงสำหรับผู้ที่ไม่ทันสังเกตได้

(more…)

Fortinet ได้ออกคำเตือนเกี่ยวกับช่องโหว่ Remote Unauthenticated Command Injection ใน FortiSIEM ซึ่งขณะนี้มี exploit code ออกมาแล้ว ทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตความปลอดภัยล่าสุดในทันที

(more…)

Microsoft ประกาศจะลบ PowerShell 2.0 ออกจาก Windows ตั้งแต่เดือนสิงหาคมนี้เป็นต้นไป หลังจากประกาศเลิกใช้งานมาแล้วกว่า 8 ปี แต่ยังคงเปิดให้ใช้งานเป็นฟีเจอร์เสริมมาจนถึงปัจจุบัน

Command Processor ที่มีอายุ 14 ปีนี้ ถูกนำมาใช้ครั้งแรกพร้อมกับ Windows 7 และได้ถูกลบออกไปแล้วสำหรับกลุ่มผู้ใช้งาน Windows Insiders ตั้งแต่เดือนกรกฎาคม 2025 ที่ผ่านมา พร้อมกับการเปิดตัว Windows 11 Insider Preview Build 27891 ใน Canary Channel

(more…)

Microsoft ได้ออกแพตช์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญใน Windows Remote Desktop Services ซึ่งอาจทำให้ผู้โจมตีสามารถดำเนินการโจมตีแบบ Denial of Service (DoS) ผ่านการเชื่อมต่อผ่านเครือข่ายได้

ช่องโหว่นี้มีหมายเลข CVE-2025-53722 และส่งผลกระทบต่อ Windows หลายเวอร์ชัน ตั้งแต่ระบบเดิมไปจนถึง Windows Server 2025 และ Windows 11 24H2 รุ่นล่าสุด

ช่องโหว่ DoS ใน Windows RDP

ช่องโหว่นี้เกิดจากการใช้ uncontrolled resource ใน Windows Remote Desktop Services ซึ่งถูกจัดประเภทภายใต้ CWE-400 โดยระบบ Common Weakness Enumeration

นักวิจัยด้านความปลอดภัยได้ให้คะแนน CVSS 3.1 ที่ 7.5 ซึ่งอยู่ในระดับความรุนแรงสูง และอาจสร้างความเสียหายต่อการทำงานของระบบอย่างมีนัยสำคัญ

แม้ว่าช่องโหว่นี้จะไม่กระทบต่อการรักษาความลับ หรือความสมบูรณ์ของข้อมูล แต่ก็ส่งผลกระทบต่อความพร้อมใช้งานสูงมาก อาจทำให้ระบบที่ได้รับผลกระทบไม่สามารถเข้าถึงได้โดยสิ้นเชิงผ่านการโจมตี

Erik Egsgard จาก Field Effect ได้รับเครดิตในฐานะผู้ค้นพบ และรายงานช่องโหว่ดังกล่าว

การประเมินความเป็นไปได้ในการถูกโจมตีของ Microsoft ระบุว่าอยู่ในระดับ "มีโอกาสน้อย" และในขณะที่มีการเปิดเผยข้อมูลยังไม่มีการพบ public exploits หรือการโจมตีจริงที่กำลังเกิดขึ้น

การอัปเดตความปลอดภัย

Microsoft ได้ออกอัปเดตแพตซ์ความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2025-53722 ในการกำหนดค่า Windows ที่แตกต่างกัน 33 แบบ รวมถึงทั้งการติดตั้งปกติ และการติดตั้งแบบ Server Core

แพตช์สำคัญประกอบด้วย KB5063880 และ KB5063812 สำหรับ Windows Server 2022, KB5063878 และ KB5064010 สำหรับ Windows Server 2025 และ KB5063875 สำหรับ Windows 11 เวอร์ชัน 22H2 และ 23H2

ระบบเดิมก็ได้รับการแก้ไขเช่นกัน โดยแพตช์ KB5063947 และ KB5063927 ครอบคลุมระบบ Windows Server 2008 R2 ขณะที่ KB5063950 ครอบคลุมการติดตั้ง Windows Server 2012 R2

องค์กรที่ใช้งานระบบ Windows 10 ในเวอร์ชันต่าง ๆ สามารถใช้ KB5063709 สำหรับรุ่น 21H2 และ 22H2 และ KB5063871 สำหรับระบบเวอร์ชัน 1607 ได้

ผู้ดูแลระบบควรให้ความสำคัญกับการอัปเดตแพตช์ทันที โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่ Remote Desktop Services ต้องมีการเชื่อมต่อจากเครือข่ายภายนอก

เนื่องจากช่องโหว่นี้มีลักษณะเป็นการโจมตีผ่านเครือข่าย และมีความซับซ้อนต่ำ ทำให้ระบบที่ยังไม่ได้อัปเดตแพตช์เป็นเป้าหมายที่น่าสนใจต่อการโจมตี เพื่อรบกวนการดำเนินธุรกิจ และความพร้อมใช้งานของระบบ

ที่มา : cybersecuritynews

พบช่องโหว่ Authentication Bypass ระดับ Critical บน FortiWeb ที่ทำให้ผู้โจมตีจากภายนอก ซึ่งไม่ต้องผ่านการยืนยันตัวตน สามารถปลอมแปลงเป็นผู้ใช้ที่มีอยู่แล้วในระบบที่ได้รับผลกระทบได้

ช่องโหว่นี้มีหมายเลข CVE-2025-52970 โดยมีคะแนน CVSS 7.7 ส่งผลกระทบต่อ FortiWeb หลายเวอร์ชัน สาเหตุมาจากการจัดการพารามิเตอร์ที่ไม่ถูกต้องในกลไก Cookie Parsing

ช่องโหว่ Out-of-Bounds ใน FortiWeb

ช่องโหว่นี้เกิดจาก out-of-bounds read ในโค้ดที่ใช้ประมวลผลคุกกี้ของ FortiWeb ซึ่งเกี่ยวข้องกับการจัดการพารามิเตอร์ที่ไม่เหมาะสม

ในระหว่าง Cookie Parsing ระบบจะใช้พารามิเตอร์ “Era” เพื่อเลือก encryption keys จาก array ในหน่วยความจำที่ใช้ร่วมกัน แต่กลับไม่มีการตรวจสอบความถูกต้องอย่างเหมาะสม

คุกกี้เซสชันของ FortiWeb ประกอบด้วย 3 ส่วน ได้แก่ Era (ตัวระบุประเภทของเซสชัน), Payload (ข้อมูลเซสชันที่ถูกเข้ารหัส รวมถึง username และ role) และ AuthHash (HMAC SHA1 signature)

โดยการจัดการค่าพารามิเตอร์ Era ให้มีค่าระหว่าง 2 ถึง 9 ผู้โจมตีสามารถบังคับให้ระบบอ่านตำแหน่งหน่วยความจำที่ไม่มีการกำหนดค่าเริ่มต้น ซึ่งอาจทำให้ใช้ encryption keys ที่เป็นค่า Null หรือศูนย์

การปรับค่านี้จะลด cryptographic security เป็นศูนย์ได้ เนื่องจากความน่าจะเป็นที่คีย์จะเป็นศูนย์ทั้งหมดจะเปลี่ยนจาก ½^n (ในสถานการณ์ปกติ) ไปเป็น 1 (guaranteed ภายใต้การโจมตีนี้)

นักวิจัย Aviv Y ได้สาธิตช่องโหว่นี้ด้วย Proof-of-Concept ที่มุ่งเป้าไปยัง /api/v2.0/system/status.

พบ Exchange servers กว่า 29,000 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต ยังไม่ได้รับการแก้ไขช่องโหว่ในระดับความรุนแรงสูง ซึ่งทำให้ Hacker สามารถโจมตีต่อไปยัง Microsoft Cloud Environments ซึ่งอาจนำไปสู่การควบคุม domain ได้อย่างสมบูรณ์ (more…)