กระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคม เผยผลสอบกรณีมิจฉาชีพได้ส่งอีเมลปลอมแนบลิงก์ Phishing จำนวนมากกว่า 100,000 ฉบับไปยังประชาชน โดยแอบอ้าง และใช้โดเมนอีเมลจริงของ 4 องค์กรขนาดใหญ่ที่มีความน่าเชื่อถือ ได้แก่
ตลาดหลักทรัพย์แห่งประเทศไทย (ตลท. หรือ SET)
บริษัทหลักทรัพย์จัดการกองทุน (บลจ.) ฟินันเซีย ไซรัส
ธนาคารกรุงศรีอยุธยา (Krungsri)
สายการบินบางกอกแอร์เวย์ส (Bangkok Airways)
(more…)
มีการตรวจพบกลุ่มผู้โจมตีที่ยังไม่เคยถูกตรวจพบ ซึ่งแอบอ้างเป็นบริษัทความปลอดภัยทางไซเบอร์ ESET จากสโลวาเกีย ในการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปที่หน่วยงานของยูเครน
แคมเปญดังกล่าว ถูกตรวจพบในเดือนพฤษภาคม 2025 และถูกติดตามโดยหน่วยงานรักษาความปลอดภัยภายใต้ชื่อ InedibleOchotense โดยระบุว่ากลุ่มนี้มีแนวทางเดียวกับกลุ่มผู้โจมตีจากรัสเซีย
(more…)
Apache Software Foundation ออกมาปฏิเสธคำกล่าวอ้างที่ว่าโครงการ OpenOffice ของตนถูกโจมตีโดย Akira ransomware หลังจากที่กลุ่มผู้โจมตีอ้างว่าได้ขโมยไฟล์เอกสารขององค์กรไป 23 GB
(more…)
Cisco ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ใน Unified Contact Center Express (UCCX) software ซึ่งอาจทำให้ Hacker สามารถเรียกใช้คำสั่งด้วยสิทธิ์ root ได้
(more…)
การโจมตีแบบ ClickFix มีการพัฒนาไปสู่รูปแบบที่ซับซ้อนยิ่งขึ้น โดยใช้วิดีโอสาธิตขั้นตอนให้เหยื่อติดตั้งมัลแวร์ด้วยตัวเอง มีตัวจับเวลานับถอยหลังเพื่อกดดันให้เหยื่อรีบปฏิบัติตามคำสั่ง และสามารถตรวจจับระบบปฏิบัติการของเครื่องเป้าหมายโดยอัตโนมัติเพื่อแสดงคำสั่งที่เหมาะสมได้อย่างแม่นยำ
(more…)
รายงานจาก Zscaler บริษัทด้านความปลอดภัยบนคลาวด์ระบุว่า พบแอป Android ที่เป็นอันตรายมากกว่า 100 แอปบน Google Play ซึ่งถูกดาวน์โหลดไปแล้วมากกว่า 40 ล้านครั้ง ในช่วงระหว่างเดือนมิถุนายน 2024 ถึงพฤษภาคม 2025
(more…)
Hyundai AutoEver America กำลังแจ้งเตือนถึงบุคคลต่าง ๆ ว่าระบบ IT ของบริษัทถูกโจมตี และผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลได้
(more…)
เทคนิคการโจมตีที่ซับซ้อนซึ่งใช้ประโยชน์จากแอปพลิเคชัน OneDrive ของ Microsoft ผ่านการโจมตีแบบ DLL Sideloading ทำให้ผู้โจมตีสามารถรันโค้ดอันตราย และสามารถหลบเลี่ยงการตรวจจับได้ (more…)
พบช่องโหว่การรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical หมายเลข CVE-2025-11953 ในแพ็คเกจ NPM @react-native-community/cli
แพ็คเกจนี้มียอดดาวน์โหลดเกือบ 2 ล้านครั้งต่อสัปดาห์ โดยทำหน้าที่เป็นเครื่องมือ command-line interface (CLI) สำหรับ React Native ซึ่งเป็น JavaScript framework ที่นักพัฒนาใช้ในการสร้างแอปฯ มือถือแบบ cross-platform
ช่องโหว่นี้ได้คะแนน CVSS 9.8 เนื่องจากสามารถเข้าถึงได้ผ่านเครือข่าย มีความซับซ้อนในการโจมตีต่ำ และอาจสร้างความเสียหายร้ายแรง โดยทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถรันคำสั่งบนระบบปฏิบัติการบนเครื่องของนักพัฒนาผ่านทาง development server ของแพ็คเกจได้
CLI ของ React Native ซึ่งถูกแยกออกจากโค้ดหลักเมื่อหลายปีก่อนเพื่อให้บำรุงรักษาง่ายขึ้น ทำหน้าที่จัดการงานที่สำคัญ เช่น การเริ่มต้นโปรเจกต์ และการรัน Metro bundler
คำสั่งอย่าง “npm start” หรือ “npx react-native run-android” จะเป็นการเปิดใช้งานเซิร์ฟเวอร์นี้ ซึ่งทำหน้าที่ bundle JavaScript สำหรับ emulators หรืออุปกรณ์
แต่นักวิจัยของ JFrog พบว่า /open-url endpoint ของเซิร์ฟเวอร์ จัดการ user input ผิดพลาด โดยส่งข้อมูลนั้นโดยตรงไปยังฟังก์ชัน open() ที่ไม่ปลอดภัยของไลบรารี NPM ที่ชื่อ “open”
บน Windows เหตุการณ์นี้ทำให้เกิดการรันคำสั่ง shell ที่สามารถควบคุมพารามิเตอร์ได้อย่างเต็มที่ ตัวอย่าง PoC พิสูจน์ด้วยการเปิดโปรแกรม calc.
ช่องโหว่ระดับ Critical ใน Microsoft Teams ซึ่งเป็นแพลตฟอร์มศูนย์กลางการสื่อสารในที่มีผู้ใช้งานกว่า 320 ล้านคนทั่วโลก ทำให้ผู้โจมตีสามารถปลอมตัวเป็นผู้บริหาร และแก้ไขข้อความได้
ช่องโหว่เหล่านี้ (ปัจจุบัน Microsoft ได้แก้ไขไปแล้ว) สามารถทำให้ทั้งบุคคลภายนอก และบุคคลภายในสามารถปลอมแปลงตัวตนในการแชท, การแจ้งเตือน และการโทร ซึ่งอาจนำไปสู่การฉ้อโกง, การแพร่กระจายมัลแวร์ และการเผยแพร่ข้อมูลเท็จได้
Check Point ได้เปิดเผยช่องโหว่นี้ต่อ Microsoft ในเดือนมีนาคม 2024 ซึ่งปัญหาเหล่านี้แสดงให้เห็นว่าความไว้วางใจในเครื่องมือที่ใช้ในการทำงานร่วมกัน สามารถถูกใช้เป็นอาวุธโดยผู้โจมตี ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานสำหรับการทำงานจากระยะไกล
Teams ซึ่งเปิดตัวในปี 2017 ในฐานะส่วนหนึ่งของ Microsoft 365 ได้ผสานรวมการแชท, การประชุมทางวิดีโอ, การแชร์ไฟล์ และแอปพลิเคชันต่าง ๆ เข้าไว้ด้วยกัน ทำให้กลายเป็นเครื่องมือที่ขาดไม่ได้สำหรับธุรกิจตั้งแต่ระดับสตาร์ทอัพไปจนถึงบริษัทในกลุ่ม Fortune 500
การตรวจสอบของ Check Point มุ่งเน้นไปที่สถาปัตยกรรมแบบ JSON ของเวอร์ชันเว็บ ซึ่งข้อความประกอบด้วยพารามิเตอร์ต่าง ๆ เช่น content, messagetype, clientmessageid และ imdisplayname
ผู้โจมตีใช้ประโยชน์จากสิ่งเหล่านี้ในการแก้ไขข้อความโดยไม่ปรากฏ label กำกับว่า “Edited” ด้วยการใช้ clientmessageid ซ้ำ ซึ่งเปรียบเสมือนการเขียนข้อความใหม่โดยไม่ทิ้งร่องรอย
ส่วนการแจ้งเตือนก็สามารถถูกปลอมแปลงได้โดยการแก้ไขค่า imdisplayname ทำให้การแจ้งเตือนดูเหมือนว่าส่งมาจากผู้บริหารระดับสูง เช่น CEO ซึ่งเป็นการใช้ประโยชน์จากความไว้วางใจโดยสัญชาตญาณของผู้ใช้ที่มีต่อการส่งข้อความด่วน
ในการแชทส่วนตัว การแก้ไขหัวข้อการสนทนาผ่าน PUT endpoint จะเปลี่ยน displayName ซึ่งทำให้ผู้เข้าร่วมเข้าใจผิดเกี่ยวกับตัวตนของผู้ส่ง ดังที่แสดงในภาพหน้าจอก่อนและหลังของอินเทอร์เฟซที่ถูกเปลี่ยนแปลงไป
การเริ่มต้นการโทรผ่าน POST /api/v2/epconv ทำให้สามารถปลอมแปลง displayName ในส่วนรายชื่อผู้เข้าร่วม ซึ่งเป็นการปลอมแปลงตัวตนของผู้โทรระหว่างการสนทนาด้วยเสียง หรือวิดีโอ
หนึ่งในช่องโหว่คือการปลอมแปลงการแจ้งเตือน ซึ่งมีหมายเลข CVE-2024-38197 โดยเป็นช่องโหว่ที่มีความรุนแรงระดับปานกลาง (CVSS 6.5) ซึ่งส่งผลกระทบต่อ iOS เวอร์ชัน 6.19.2 และเวอร์ชันต่ำกว่า ซึ่งช่องข้อมูลผู้ส่งขาดการตรวจสอบความถูกต้องอย่างเหมาะสม
สถานการณ์การโจมตีช่องโหว่ Microsoft Teams
ช่องโหว่เหล่านี้ทำลายความไว้วางใจที่มีต่อ Teams และทำให้มันกลายเป็นช่องทางในการหลอกลวงสำหรับกลุ่ม APTs, ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ และอาชญากรไซเบอร์
บุคคลภายนอกสามารถแทรกซึมเข้ามาในฐานะบุคคลภายใน โดยปลอมตัวเป็นหัวหน้าฝ่ายการเงินเพื่อขโมยข้อมูลยืนยันตัวตน หรือส่งลิงก์ที่มีมัลแวร์ปลอมแปลงมาในรูปแบบคำสั่งจากผู้บริหาร
บุคคลภายในอาจขัดขวางการบรรยายสรุปด้วยการปลอมแปลงการโทร, สร้างความสับสนในการสนทนาที่ละเอียดอ่อน หรือเปิดช่องให้เกิดแผนการหลอกลวงทางอีเมล (BEC)
ความเสี่ยงที่เกิดขึ้นจริง ได้แก่ การฉ้อโกงทางการเงิน โดยที่การแจ้งเตือนปลอมจาก CEO ที่สามารถหลอกให้เกิดการโอนเงิน, การละเมิดความเป็นส่วนตัวจากการสนทนาที่ถูกปลอมแปลงขึ้น และการจารกรรมข้อมูลผ่านประวัติการสนทนาที่ถูกแก้ไขในการโจมตีแบบ Supply Chain
ผู้โจมตี รวมถึงกลุ่มต่าง ๆ อย่าง Lazarus ได้มุ่งเป้าโจมตีแพลตฟอร์มเหล่านี้ด้วยวิธี social engineering มาอย่างยาวนาน ดังที่เห็นในรายงานล่าสุดเกี่ยวกับการโจมตีผ่าน Teams ด้วย ransomware และการขโมยข้อมูล
ความง่ายดายในการใช้ช่องโหว่นี้ต่อเนื่องกัน เช่น การปลอมแปลงการแจ้งเตือนตามด้วยการโทรปลอม ยิ่งเพิ่มความอันตราย ซึ่งอาจหลอกลวงผู้ใช้ให้เปิดเผยความลับ หรือดำเนินการที่เป็นอันตราย
Check Point ได้เปิดเผยช่องโหว่เมื่อวันที่ 23 มีนาคม 2024 โดย Microsoft รับทราบปัญหาในวันที่ 25 มีนาคม และยืนยันการแก้ไขตามลำดับ
ช่องโหว่การแก้ไขข้อความได้รับการแก้ไขภายในวันที่ 8 พฤษภาคม 2024, ช่องโหว่การแก้ไขแชทส่วนตัวภายในวันที่ 31 กรกฎาคม, ช่องโหว่การแจ้งเตือน (CVE-2024-38197) ภายในวันที่ 13 กันยายน หลังจากแพตซ์อัปเดตในเดือนสิงหาคม และช่องโหว่การปลอมแปลงสายภายในเดือนตุลาคม 2025
ปัจจุบันช่องโหว่ทั้งหมดได้รับการแก้ไขแล้ว โดยผู้ใช้ไม่จำเป็นต้องดำเนินการใด ๆ นอกจากการอัปเดต อย่างไรก็ตาม องค์กรควรมีการป้องกันหลายชั้น, ใช้การตรวจสอบแบบ zero-trust สำหรับข้อมูล identities และอุปกรณ์, ใช้ระบบป้องกันภัยคุกคามขั้นสูงเพื่อสแกน payloads ใน Teams, บังคับใช้นโยบายการป้องกันข้อมูลรั่วไหล (DLP) และฝึกอบรมพนักงานเกี่ยวกับการตรวจสอบแบบ out-of-band สำหรับคำขอที่มาจากผู้บริหารระดับสูง
การคิดแบบ Critical thinking ยังคงเป็นกุญแจสำคัญในการตรวจสอบการสื่อสารที่น่าสงสัยเสมอ แม้ว่าจะมาจากแหล่งที่ดูน่าเชื่อถือก็ตาม ในขณะที่เครื่องมือการทำงานร่วมกันพัฒนาขึ้น การรักษาความไว้วางใจของมนุษย์ก็มีความสำคัญเทียบเท่ากับการแก้ไขโค้ดเช่นเดียวกัน
ที่มา : cybersecuritynews