Cybercrime service ที่เพิ่งถูกค้นพบใหม่ชื่อ 1Campaign ช่วยให้ผู้โจมตีสามารถ run โฆษณาที่เป็นอันตรายบน Google Ads ได้นานขึ้น โดยสามารถหลบเลี่ยงการตรวจสอบจากเหล่านักวิจัยด้านความปลอดภัยได้ (more…)

มัลแวร์ Banking ตัวใหม่บนระบบ Android ที่นักวิจัยตั้งชื่อว่า Massiv กำลังแฝงตัวมาในรูปแบบของแอปพลิเคชัน IPTV เพื่อขโมยข้อมูล Digital Identities และเข้าถึงบัญชี Banking ออนไลน์

มัลแวร์ตัวนี้อาศัยการสร้าง Screen Overlays และ Keylogging เพื่อขโมยข้อมูล Sensitive data และยังสามารถเข้าควบคุมอุปกรณ์ที่ถูกโจมตีได้จากระยะไกล

(more…)

Predator spyware ของ Intellexa สามารถซ่อนสัญลักษณ์แจ้งเตือนการบันทึกข้อมูลของ iOS ได้ ในขณะที่แอบสตรีมภาพจากกล้อง และเสียงจากไมโครโฟนส่งไปยังผู้ควบคุม

มัลแวร์ตัวนี้ไม่ได้อาศัยช่องโหว่ใด ๆ ของระบบ iOS แต่ใช้ประโยชน์จากสิทธิ์การเข้าถึง Kernel-Level ที่ตัวมัลแวร์แอบเจาะเข้าไปได้ก่อนหน้า เพื่อเข้าไปขัดขวาง และควบคุมระบบแจ้งเตือน ซึ่งตามปกติแล้วระบบนี้จะคอยเปิดเผยให้ผู้ใช้ทราบว่ากำลังถูกสอดแนมอยู่

(more…)

PayPal แจ้งเตือนลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหล หลังจากเกิดช่องโหว่ของซอฟต์แวร์ในระบบขอสินเชื่อ ซึ่งทำให้ข้อมูลส่วนบุคคลที่สำคัญของลูกค้า รวมถึง Social Security numbers ถูกเปิดเผยเป็นเวลานานเกือบ 6 เดือนเมื่อปีที่ผ่านมา

(more…)

CISA ประกาศแจ้งเตือนช่องโหว่ 2 รายการของ Roundcube Webmail ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีจริง พร้อมทั้งสั่งการให้หน่วยงานของรัฐบาลกลางสหรัฐฯ ดำเนินการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวภายในสามสัปดาห์

Roundcube Webmail เป็นโปรแกรมจัดการอีเมลบนเว็บ ซึ่งถูกใช้เป็นหน้าต่างใช้งานอีเมลเริ่มต้นสำหรับ cPanel ซึ่งเป็น Web hosting control panel ที่ได้รับความนิยมอย่างแพร่หลายมาตั้งแต่ปี 2008

(more…)

Splunk ได้เปิดเผยช่องโหว่ที่มีระดับความรุนแรงสูงใน Splunk Enterprise สำหรับ Windows ซึ่งทำให้ผู้ใช้งานที่สิทธิ์ระดับต่ำสามารถยกระดับสิทธิ์ตนเองไปสู่ระดับ SYSTEM ได้ผ่านเทคนิคการโจมตีที่เรียกว่า DLL Search-Order Hijacking โดยการหลอกให้ระบบเรียกใช้งานไฟล์ DLL ปลอมที่แฮ็กเกอร์นำมาวางดักไว้

เมื่อวันที่ 18 กุมภาพันธ์ 2026 มีประกาศแจ้งเตือนด้านความปลอดภัย SVD-2026-0205 ถึงช่องโหว่หมายเลข CVE-2026-20140 ซึ่งมีระดับความรุนแรงสูง (CVSSv3.1 score 7.7) ช่องโหว่นี้ถูกจัดประเภทให้อยู่ในกลุ่ม CWE-427 (การควบคุมเส้นทางการค้นหาไฟล์ที่หละหลวม - Uncontrolled Search Path Element)

ช่องโหว่นี้อยู่ใน Splunk Enterprise สำหรับ Windows เวอชันต่ำกว่า 10.2.0, 10.0.3, 9.4.8, 9.3.9 และ 9.2.12 โดยทำให้ผู้โจมตีที่แม้มีสิทธิ์การเข้าถึงระบบระดับต่ำ แต่สามารถยกระดับสิทธิ์ตัวเองได้ โดยการสร้างไดเรกเทอรี่ในไดร์ฟระบบที่ติดตั้ง Splunk ไว้ จากนั้นทำการวางไฟล์ DLL อันตรายลงไป

เมื่อบริการ Splunk Enterprise เริ่มทำงานใหม่ ตัวโปรแกรมอาจโหลดไฟล์ DLL อันตรายดังกล่าวนั้นขึ้นมาทำงานด้วย เนื่องจากระบบมีช่องโหว่ในกลไกการค้นหาไฟล์ที่ไม่ปลอดภัย และความน่ากลัวคือซอฟต์แวร์นี้ทำงานด้วยสิทธิ์สูงสุดของเครื่อง (SYSTEM) มัลแวร์จึงได้รับสิทธิ์สูงสุดนั้นตามไปด้วย ทำให้ผู้โจมตีสามารถควบคุมเครื่องได้อย่างสมบูรณ์

ข้อมูลจากเกณฑ์การประเมิน CVSS ได้ระบุลักษณะสำคัญของการโจมตีนี้ไว้หลายประการ ดังนี้

ผู้โจมตีไม่สามารถเจาะช่องโหว่นี้ผ่านเครือข่ายได้โดยตรง แต่ต้องหาทางล็อกอินเข้าถึงเครื่องเป้าหมายด้วยสิทธิ์ระดับต่ำให้ได้ก่อน (AV:L - Local Access)
การโจมตีต้องอาศัยการเตรียมการหลายขั้นตอน และตัวมัลแวร์จะยังไม่ทำงานจนกว่าจะมีการสั่งรีสตาร์ทโปรแกรม Splunk (AC:H - High Complexity และ UI:R - User Interaction Required)
เมื่อโจมตีสำเร็จ แฮ็กเกอร์จะสามารถยกระดับสิทธิ์ระดับต่ำของตนเอง (S:C - Scope Changed) และเข้าควบคุมระบบได้อย่างสมบูรณ์ ส่งผลกระทบรุนแรงขั้นสุดทั้งในด้านการถูกขโมยข้อมูล การถูกดัดแปลงแก้ไข และการทำให้ระบบล่ม (C:H, I:H, A:H - High impact on Confidentiality, Integrity, and Availability)

เวอชันทีได้รับผลกระทบ และเวอชันที่แก้ไขแล้วมีดังนี้

ปัจจุบัน Splunk ได้แก้ไขช่องโหว่ดังกล่าวแล้วในเวอร์ชัน 10.2.0, 10.0.3, 9.4.8, 9.3.9 และ 9.2.12 แล้ว องค์กรที่ใช้งาน Splunk Enterprise บน Windows ควรเร่งดำเนินการติดตั้งแพตช์อัปเดตให้เป็นเวอร์ชันดังกล่าวโดยเร็วที่สุด

สำหรับองค์กรที่ยังไม่สามารถดำเนินการอัปเดตระบบได้ทันที ผู้ดูแลระบบควรตั้งค่าจำกัดสิทธิ์ Write Permissions ในโฟลเดอร์ต่าง ๆ บน System drive เพื่อป้องกันไม่ให้ผู้ไม่หวังดีสามารถแอบนำไฟล์ DLL ปลอมมาวางไว้ได้

ในขณะนี้ยังไม่มีรายงานการตรวจพบ หรือการโจมตีที่เกิดขึ้นจริงในระบบ ช่องโหว่นี้ได้รับการเปิดเผยโดยนักวิจัยด้านความปลอดภัย Marius Gabriel Mihai

ที่มา : cybersecuritynews

Google เผยว่า ตลอดปี 2025 ได้บล็อกแอปพลิเคชัน Android มากกว่า 255,000 รายการ ที่พยายามเข้าถึงข้อมูลส่วนตัวที่สำคัญของผู้ใช้เกินความจำเป็น และปฏิเสธการเผยแพร่แอปบน Google Play อีกกว่า 1.75 ล้านรายการเนื่องจากการละเมิดนโยบาย

รายงานการตรวจสอบความปลอดภัยประจำปีของ Android และ Google Play จาก Google เผยให้เห็นว่า มาตรการป้องกันที่นำมาใช้นั้นมีประสิทธิภาพเพียงใดในการรักษาความน่าเชื่อถือของระบบให้ปลอดภัย โดยคัดกรองเฉพาะนักพัฒนาที่น่าเชื่อถือ และแอปพลิเคชันที่ถูกต้องตามมาตรฐาน

(more…)

บริษัท Advantest Corporation เปิดเผยว่า เครือข่ายของบริษัทถูกโจมตีด้วยแรนซัมแวร์ ซึ่งอาจส่งผลกระทบต่อข้อมูลลูกค้า หรือพนักงาน ผลการตรวจสอบเบื้องต้นพบว่าผู้โจมตีสามารถเข้าถึงบางส่วนของเครือข่ายของบริษัทได้เมื่อวันที่ 15 กุมภาพันธ์ที่ผ่านมา

บริษัท Advantest ซึ่งมีสำนักงานใหญ่ตั้งอยู่ในกรุงโตเกียว เป็นผู้นำระดับโลกด้านอุปกรณ์ทดสอบสำหรับเซมิคอนดักเตอร์ ผลิตภัณฑ์ดิจิทัล และอุปกรณ์สื่อสารไร้สาย มีพนักงานทั้งหมด 7,600 คน มีรายได้ต่อปีมากกว่า 5 พันล้านดอลลาร์สหรัฐ และมีมูลค่าหลักทรัพย์ตามราคาตลาดสูงถึง 120 พันล้านดอลลาร์สหรัฐ

เมื่อวันที่ 15 กุมภาพันธ์ บริษัทได้ตรวจพบพฤติกรรมที่ผิดปกติในระบบไอที ซึ่งนำไปสู่กระบวนการ incident response ซึ่งรวมถึงการตัดการเชื่อมต่อระบบที่ได้รับผลกระทบ

เพื่อเป็นการตอบสนองต่อสถานการณ์ดังกล่าว บริษัทได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอก เพื่อช่วยจำกัดขอบเขตของภัยคุกคาม และตรวจสอบผลกระทบที่เกิดขึ้น

Advantest ระบุว่า “ผลการตรวจสอบเบื้องต้นแสดงให้เห็นว่า บุคคลภายนอกที่ไม่ได้รับอนุญาตอาจเข้าถึงเครือข่ายบางส่วนของบริษัท และได้ติดตั้งแรนซัมแวร์”

“การตรวจสอบของเราพบว่า ข้อมูลของลูกค้า หรือพนักงานได้รับผลกระทบ เราจะแจ้งให้ผู้ที่ได้รับผลกระทบรับทราบ และให้คำแนะนำเกี่ยวกับมาตรการป้องกัน”

ในขณะนี้ยังไม่มีการยืนยันว่ามีการขโมยข้อมูล แต่ Advantest ระบุว่า สถานการณ์อาจเปลี่ยนแปลงได้เมื่อมีข้อมูลเพิ่มเติมจากการสืบสวนที่กำลังดำเนินอยู่

หากพบว่าลูกค้า หรือพนักงานได้รับผลกระทบ Advantest จะแจ้งให้ทราบโดยตรง และให้คำแนะนำในการลดความเสี่ยงที่เกี่ยวข้อง

เมื่อเร็ว ๆ นี้ บริษัทสัญชาติญี่ปุ่นหลายแห่งตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ โดยหลายบริษัทที่มีชื่อเสียงต้องประสบปัญหาการรั่วไหลของข้อมูล และการหยุดชะงักของการดำเนินงาน ตัวอย่างเช่น โรงแรมวอชิงตัน, นิสสัน, มูจิ, อาซาฮี และ NTT

Advantest ระบุว่า การสอบสวนยังคงดำเนินต่อไป และจะแจ้งความคืบหน้าเกี่ยวกับเหตุการณ์เมื่อมีรายละเอียดใหม่ ๆ เพิ่มเติม

ที่มา : bleepingcomputer

หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้แจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่ CVE-2026-1731 ที่ส่งผลกระทบต่อผลิตภัณฑ์ BeyondTrust Remote Support ในปฏิบัติการการโจมตีด้วย Ransomware อย่างต่อเนื่อง

CVE-2026-1731 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Remote Code Execution ที่ส่งผลกระทบต่อ BeyondTrust Remote Support เวอร์ชัน 25.3.1 หรือก่อนหน้า และ Privileged Remote Access เวอร์ชัน 24.3.4 หรือก่อนหน้า

CISA ได้เพิ่มช่องโหว่นี้ลงในรายการ Known Exploited Vulnerabilities (KEV) หรือช่องโหว่ที่กำลังถูกใช้ในการโจมตี เมื่อวันที่ 13 กุมภาพันธ์ 2026 และให้เวลาหน่วยงานของรัฐบาลกลางเพียงสามวันในการติดตั้งแพตช์ หรือหยุดใช้ผลิตภัณฑ์

BeyondTrust ได้เปิดเผยช่องโหว่ CVE-2026-1731 ครั้งแรกเมื่อวันที่ 6 กุมภาพันธ์ 2026 คำแนะนำด้านความปลอดภัยจัดประเภทช่องโหว่นี้ว่าเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ก่อนการยืนยันตัวตน ซึ่งเกิดจากช่องโหว่ OS command injection และสามารถโจมตีได้ผ่าน Client Request ที่สร้างขึ้นมาเป็นพิเศษไปยังระบบที่มีช่องโหว่

หลังจากนั้นไม่นานก็พบการสร้าง Proof-of-concept (PoC) สำหรับช่องโหว่ CVE-2026-1731 รวมถึงการโจมตีช่องโหว่ดังกล่าว

เมื่อวันที่ 13 กุมภาพันธ์ 2026 ทาง BeyondTrust ได้อัปเดตประกาศแจ้งเตือนว่า ตรวจพบการโจมตีเมื่อวันที่ 31 มกราคม 2026 ทำให้ CVE-2026-1731 กลายเป็นช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีมาแล้วอย่างน้อยหนึ่งสัปดาห์

BeyondTrust ระบุว่า รายงานจากนักวิจัย Harsh Jaiswal และทีม Hacktron AI ยืนยันกิจกรรมที่ผิดปกติที่พวกเขาตรวจพบในอุปกรณ์ Remote Support เพียงเครื่องเดียวในขณะนั้น

สำหรับลูกค้า Cloud-Based Application (SaaS) BeyondTrust ระบุว่า แพตช์ได้รับการติดตั้งโดยอัตโนมัติเมื่อวันที่ 2 กุมภาพันธ์ 2026 ดังนั้นจึงไม่จำเป็นต้องมีการดำเนินการด้วยตนเอง

ลูกค้าที่ใช้งาน Self-Hosted Instances จำเป็นต้องเปิดใช้งานการอัปเดตอัตโนมัติ และตรวจสอบว่าได้ติดตั้งแพตช์แล้วผ่านทางอินเทอร์เฟซ '/appliance' หรือติดตั้งด้วยตนเอง

สำหรับ Remote Support แนะนำให้ติดตั้งเวอร์ชัน 25.3.2 รวมถึงผู้ใช้บริการเข้าถึงจากระยะไกลที่มีสิทธิ์พิเศษควรเปลี่ยนไปใช้เวอร์ชัน 25.1.1 หรือใหม่กว่า

สำหรับผู้ที่ยังคงใช้ RS เวอร์ชัน 21.3 และ PRA เวอร์ชัน 22.1 แนะนำให้อัปเกรดเป็นเวอร์ชันที่ใหม่กว่าก่อนติดตั้งแพตช์

ที่มา : bleepingcomputer

กลุ่มผู้โจมตีกำลังมุ่งเป้าไปที่องค์กรในกลุ่มเทคโนโลยี, การผลิต และการเงิน ด้วยแคมเปญที่ผสมผสานระหว่าง Device Code Phishing และ voice phishing (Vishing) เพื่อใช้ประโยชน์จากขั้นตอนการอนุญาตอุปกรณ์ OAuth 2.0 เพื่อเข้ายึดครองบัญชี Microsoft Entra

โดยแตกต่างจากการโจมตีครั้งก่อน ๆ ที่ใช้แอปพลิเคชัน OAuth ที่เป็นอันตรายเพื่อยึดบัญชี การโจมตีครั้งนี้มีการใช้ Client ID ของ Microsoft OAuth ที่ถูกต้องร่วมกับขั้นตอนการอนุญาตอุปกรณ์เพื่อหลอกล่อเหยื่อให้ยืนยันตัวตน

วิธีการนี้ช่วยให้ผู้โจมตีได้รับโทเค็นการยืนยันตัวตน ซึ่งสามารถใช้เข้าถึงบัญชีของเหยื่อได้โดยตรง โดยไม่ต้องพึ่งพาหน้าเว็บไซต์ฟิชชิงทั่วไปที่ใช้ขโมยรหัสผ่าน หรือการดักจับรหัส Multi-factor Authentication (MFA)

แหล่งข่าวรายหนึ่งระบุว่า กลุ่ม ShinyHunters อยู่เบื้องหลังการโจมตีแบบ Device Code Vishing ครั้งใหม่นี้ ซึ่งต่อมาทางกลุ่มผู้โจมตีก็ได้ออกมายืนยันด้วยตนเอง อย่างไรก็ตาม ยังไม่สามารถตรวจสอบข้อเท็จจริงนี้ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้กลุ่ม ShinyHunters ถูกเชื่อมโยงกับการโจมตีแบบ vishing ที่ใช้ในการโจมตีบัญชี Okta และ Microsoft Entra SSO เพื่อขโมยข้อมูล

การโจมตีด้วยเทคนิค Device Code Social Engineering

เว็บไซต์ BleepingComputer ได้รับข้อมูลจากหลายแหล่งว่า กลุ่มผู้โจมตีได้เริ่มใช้การโจมตีแบบ vishing ซึ่งไม่จำเป็นต้องอาศัยโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่ แต่หันไปใช้ประโยชน์จากหน้าล็อกอินที่ถูกต้องของ Microsoft และขั้นตอนการยืนยันตัวตนด้วย Device Code แบบมาตรฐานเพื่อโจมตีเข้าไปในบัญชีขององค์กร

การโจมตีแบบ Device Code Phishing คือการใช้ช่องโหว่ของกระบวนการให้สิทธิ์การเข้าถึงอุปกรณ์ OAuth 2.0 ที่ถูกต้อง เพื่อขอรับโทเค็นการยืนยันตัวตนสำหรับบัญชี Microsoft Entra ของเหยื่อ

จากนั้นสามารถใช้ข้อมูลนี้เพื่อเข้าถึงทรัพยากรของผู้ใช้ และแอปพลิเคชัน SSO ที่เชื่อมต่ออยู่ เช่น Microsoft 365, Salesforce, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian และบริการอื่น ๆ

กระบวนการขอสิทธิ์นี้ถูกออกแบบมาเพื่อให้การเชื่อมต่ออุปกรณ์ที่ไม่มีตัวเลือกการป้อนข้อมูลที่เข้าถึงได้ง่าย เช่น อุปกรณ์ IoT, เครื่องพิมพ์, อุปกรณ์สตรีมมิง และสมาร์ททีวี

Microsoft ระบุว่า แพลตฟอร์มการระบุตัวตนของ Microsoft รองรับการให้สิทธิ์การเข้าถึงอุปกรณ์ ซึ่งช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้บนอุปกรณ์ที่มีข้อจำกัดด้านการป้อนข้อมูล เช่น สมาร์ททีวี อุปกรณ์ IoT หรือเครื่องพิมพ์

ในการใช้งานขั้นตอนนี้ อุปกรณ์จะให้ผู้ใช้เข้าไปยังหน้าเว็บผ่านเบราว์เซอร์บนอุปกรณ์เครื่องอื่นเพื่อลงชื่อเข้าใช้ และเมื่อผู้ใช้ลงชื่อเข้าใช้เรียบร้อยแล้ว อุปกรณ์ดังกล่าวก็จะสามารถรับ access tokens และ Refresh tokens ได้ตามต้องการ

ขั้นตอนการยืนยันตัวตนนี้คล้ายกับเวลาลงชื่อเข้าใช้บริการสตรีมมิง เช่น Netflix หรือ Apple TV ที่ตัวอุปกรณ์สตรีมมิงจะแสดงรหัสสั้น ๆ และแนะนำให้เข้าไปยังเว็บไซต์ผ่านโทรศัพท์ หรือคอมพิวเตอร์เพื่อทำการลงชื่อเข้าใช้ให้เสร็จสมบูรณ์

หลังจากที่ป้อนรหัส และยืนยันตัวตนแล้ว อุปกรณ์จะเชื่อมโยงกับบัญชีโดยอัตโนมัติ โดยไม่ต้องจัดการรหัสผ่านโดยตรง

ในการโจมตีแบบ Device-code Phishing นั้น กลุ่มผู้โจมตีจำเป็นต้องมี client_id ของแอปพลิเคชัน OAuth ที่มีอยู่แล้วก่อน ซึ่งอาจจะเป็นแอปที่สร้างขึ้นเอง หรือเป็นหนึ่งในแอปของ Microsoft ก็ได้

ผู้โจมตีใช้เครื่องมือโอเพนซอร์ส เพื่อสร้าง device_code และ user_code ซึ่งจะถูกส่งต่อไปยังเป้าหมายสำหรับแอป OAuth ที่ระบุไว้

จากนั้นผู้โจมตีจะติดต่อพนักงานที่เป็นเป้าหมาย และพยายามโน้มน้าวให้พวกเขากรอกรหัสผู้ใช้ที่สร้างขึ้นในหน้าการยืนยันตัวตนอุปกรณ์ของ Microsoft ที่ microsoft.