Fortinet ออกมายืนยันการค้นพบช่องโหว่ระดับ critical ตัวใหม่ในระบบ FortiCloud Single Sign-On (SSO) ซึ่งกำลังถูกนำไปใช้ในการโจมตีจริง โดยช่องโหว่นี้มีหมายเลข CVE-2026-24858 โดยเป็นช่องโหว่ authentication bypass และบริษัทระบุว่า ได้ลดผลกระทบจากการโจมตีแบบ zero-day ดังกล่าวแล้ว ด้วยการบล็อกการเชื่อมต่อ FortiCloud SSO จากอุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชันที่มีช่องโหว่ (more…)

Microsoft ได้ออกอัปเดตแพตช์ความปลอดภัยฉุกเฉินนอกรอบ เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Microsoft Office ที่กำลังถูกนำไปใช้ในการโจมตี (more…)

การโจมตีทางไซเบอร์ที่มีเป้าหมายไปยังโครงข่ายไฟฟ้าของโปแลนด์ ในช่วงปลายเดือนธันวาคม 2025 ได้ถูกเชื่อมโยงไปยัง Sandworm กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งพยายามปล่อยมัลแวร์ Data-wiping ตัวใหม่ที่ชื่อว่า "DynoWiper" ในระหว่างการโจมตีดังกล่าว

Sandworm (หรือที่รู้จักกันในชื่อ UAC-0113, APT44 และ Seashell Blizzard) คือกลุ่มแฮ็กเกอร์ระดับชาติของรัสเซีย ที่ปฏิบัติการมาตั้งแต่ปี 2009 เชื่อกันว่ากลุ่มนี้เป็นส่วนหนึ่งของหน่วยทหาร 74455 ภายใต้สังกัดกรมข่าวกรองหลัก (GRU) ของรัสเซีย และมีชื่อเสียงจากการก่อเหตุโจมตีที่สร้างความโกลาหล และความเสียหายอย่างรุนแรง (more…)

กลุ่มแฮ็กเกอร์ ShinyHunters ออกมาอ้างความรับผิดชอบต่อการโจมตีด้วยวิธี Voice phishing ที่กำลังดำเนินอยู่อย่างต่อเนื่อง โดยมีเป้าหมายที่บัญชี Single Sign-On (SSO) ของ Okta, Microsoft และ Google

การโจมตีเหล่านี้ทำให้ผู้ไม่หวังดีสามารถโจมตีเข้าสู่แพลตฟอร์ม SaaS ขององค์กร และขโมยข้อมูลของบริษัทไปเพื่อทำการข่มขู่เรียกเงินได้

(more…)

กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่ชื่อว่า Konni (หรือเป็นที่รู้จักในชื่อ Opal Sleet, TA406) กำลังใช้มัลแวร์ PowerShell ที่สร้างขึ้นโดย AI เพื่อมุ่งเป้าโจมตีนักพัฒนา และวิศวกรในวงการ Blockchain

เชื่อกันว่ากลุ่ม Konni มีความเชื่อมโยงกับกลุ่ม APT37 และ Kimsuky โดยกลุ่มนี้มีการเคลื่อนไหวมาตั้งแต่อย่างน้อยปี 2014 และถูกตรวจพบว่าได้มุ่งเป้าโจมตีองค์กรต่าง ๆ ในเกาหลีใต้, รัสเซีย, ยูเครน และหลาย ๆ ประเทศในยุโรป

จากการวิเคราะห์ตัวอย่างโดยนักวิจัยของ Check Point พบว่าแคมเปญล่าสุดของกลุ่มผู้ไม่หวังดีเน้นเป้าหมายไปที่ภูมิภาคเอเชียแปซิฟิก เนื่องจากมีการส่งตัวอย่างมัลแวร์ดังกล่าวเข้ามาตรวจสอบจากประเทศญี่ปุ่น, ออสเตรเลีย และอินเดีย

การโจมตีเริ่มต้นเมื่อเหยื่อได้รับลิงก์ที่ฝากไว้บน Discord ซึ่งจะส่งไฟล์ ZIP ที่ภายในประกอบด้วยไฟล์ PDF สำหรับล่อลวง และไฟล์ LNK shortcut (.LNK) ที่เป็นอันตราย

ไฟล์ LNK ดังกล่าวจะสั่งทำงานตัว PowerShell loader ที่ฝังอยู่ เพื่อแตกไฟล์เอกสาร DOCX และไฟล์ CAB archive ออกมา โดยภายในประกอบด้วย PowerShell Backdoor, ไฟล์ Batch สองไฟล์ และไฟล์ Executable สำหรับหลบเลี่ยงระบบ UAC (User Account Control)

เมื่อเปิดไฟล์ shortcut เอกสาร DOCX จะถูกเปิดขึ้นพร้อมกับการสั่งรันไฟล์ Batch หนึ่งไฟล์ที่รวมอยู่ในไฟล์ Cabinet นั้น

เอกสาร DOCX ที่ใช้หลอกลวง แสดงให้เห็นเจตนาว่าแฮ็กเกอร์ต้องการโจมตีเข้าสู่ development environments ซึ่งจะช่วยให้พวกเขาสามารถเข้าถึง Assets ที่สำคัญ ได้แก่ โครงสร้างพื้นฐาน, ข้อมูล API credentials, การเข้าถึง Wallet และท้ายที่สุดคือเหรียญ Cryptocurrency ที่ถือครองอยู่"

ไฟล์ Batch ไฟล์แรกจะสร้าง Staging Directory สำหรับตัว Backdoor และไฟล์ Batch ไฟล์ที่สอง จะสร้าง Scheduled Task ให้ทำงานทุกชั่วโมง โดยอำพรางตัวเป็น Startup Task ของ OneDrive

Task ดังกล่าวจะอ่านสคริปต์ PowerShell ที่ถูกเข้ารหัสแบบ XOR จาก Disk และทำการถอดรหัสเพื่อสั่งประมวลผลภายในหน่วยความจำ จากนั้นในขั้นตอนสุดท้าย มันจะลบตัวเองทิ้งเพื่อกำจัดร่องรอยของการติดมัลแวร์

Backdoor ที่ถูกสร้างขึ้นโดย AI

ตัว PowerShell backdoor ดัวกล่าวจะถูกอำพรางไว้อย่างซับซ้อน โดยอาศัยการเข้ารหัส String ที่อิงตามหลัก Arithmetic การสร้าง String ขึ้นใหม่ในขณะที่โปรแกรมกำลังทำงาน และการสั่งทำงาน Logic ส่วนสุดท้ายผ่านคำสั่ง ‘Invoke-Expression’

นักวิจัยระบุว่ามัลแวร์ PowerShell ตัวนี้ แสดงให้เห็นอย่างชัดเจนว่าถูกพัฒนาขึ้นโดยมี AI เข้ามาช่วยเหลือ มากกว่าจะเป็นมัลแวร์ที่เขียนขึ้นโดย Operator ตามวิธีแบบดั้งเดิม

หลักฐานที่นำไปสู่ข้อสรุปดังกล่าว ได้แก่ การมีส่วนเอกสารกำกับที่ชัดเจน และเป็นโครงสร้างอยู่ที่ส่วนบนของสคริปต์ ซึ่งถือเป็นเรื่องที่ผิดปกติสำหรับการพัฒนามัลแวร์ รวมไปถึงการจัดวางรูปแบบโค้ดที่เป็นระเบียบแบ่งเป็นสัดส่วน และการปรากฏอยู่ของคอมเมนต์ที่เขียนว่า “# <– your permanent project UUID”

Check Point อธิบายว่า "การใช้ถ้อยคำเช่นนี้เป็นลักษณะเด่นอย่างมากของโค้ดที่สร้างขึ้นโดย LLM (Large Language Model) ซึ่งตัวโมเดลจะระบุคำแนะนำแก่ผู้ใช้อย่างชัดเจนถึงวิธีการปรับแก้ค่าที่เว้นว่างไว้ (Placeholder value)"

"คอมเมนต์ลักษณะนี้มักพบได้ทั่วไปในสคริปต์ และบทเรียนสอนเขียนโค้ดที่สร้างขึ้นโดย AI"

ก่อนที่จะเริ่มทำงาน มัลแวร์จะทำการตรวจสอบ Hardware, Software และกิจกรรมของผู้ใช้ เพื่อให้มั่นใจว่ามันไม่ได้กำลังถูกรันอยู่ในสภาพแวดล้อมสำหรับการวิเคราะห์ จากนั้นจึงจะสร้าง Host ID ที่ไม่ซ้ำกันขึ้นมา

ลำดับถัดไป ขึ้นอยู่กับระดับสิทธิ์การสั่งการ ที่ตัวมัลแวร์มีอยู่บนเครื่องที่ถูกโจมตีระบบ มัลแวร์จะเลือกดำเนินการตามเส้นทางที่แตกต่างกัน ดังที่แสดงในแผนภาพต่อไปนี้

เมื่อ Backdoor ทำงานอย่างสมบูรณ์บนอุปกรณ์ที่ติดมัลแวร์ มันจะติดต่อไปยังเซิร์ฟเวอร์ C2 เป็นระยะเพื่อส่งข้อมูล Metadata พื้นฐานของเครื่อง Host และส่ง Request ข้อมูลไปยังเซิร์ฟเวอร์ในช่วงเวลาแบบสุ่ม

หากการตอบกลับจาก C2 มีโค้ด PowerShell แนบมาด้วย มันจะแปลงโค้ดนั้นให้เป็น Script block และสั่งประมวลผลแบบ Asynchronously โดยอาศัยการทำงานอยู่เบื้องหลัง

ทาง Check Point ระบุว่า การโจมตีเหล่านี้เป็นฝีมือของกลุ่มผู้ไม่หวังดี Konni โดยอ้างอิงจากรูปแบบตัว Launcher ในอดีต ความซ้ำซ้อนของชื่อไฟล์หลอกลวง และชื่อสคริปต์ รวมถึงความคล้ายคลึงกันในโครงสร้าง Execution chain เมื่อเทียบกับการโจมตีก่อนหน้านี้

นักวิจัยได้เผยแพร่ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญล่าสุดนี้ เพื่อช่วยให้ฝ่ายป้องกันสามารถปกป้อง Assets ของตนได้

ที่มา : bleepingcomputer

พบช่องโหว่ระดับความรุนแรงสูงในปลั๊กอิน Advanced Custom Fields: Extended (ACF Extended) สำหรับ WordPress ซึ่งสามารถถูกโจมตีจากระยะไกลโดยผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน โดยทำให้สามารถเข้ายึดสิทธิ์ระดับผู้ดูแลระบบได้

ACF Extended ซึ่งปัจจุบันใช้งานอยู่บนเว็บไซต์กว่า 100,000 แห่ง เป็นปลั๊กอินเฉพาะที่ช่วยขยายขีดความสามารถของปลั๊กอิน Advanced Custom Fields (ACF) ด้วยคุณสมบัติต่าง ๆ สำหรับนักพัฒนา และผู้สร้างเว็บไซต์ระดับสูง (more…)

Microsoft เตรียมจะเพิ่มฟีเจอร์ป้องกันการฉ้อโกงใหม่ในการโทรผ่าน Teams เพื่อแจ้งเตือนผู้ใช้เกี่ยวกับผู้โทรจากภายนอกที่พยายามแอบอ้างเป็นองค์กรที่น่าเชื่อถือ ซึ่งเป็นรูปแบบหนึ่งของการโจมตีแบบ Social Engineering

ฟีเจอร์ความปลอดภัยใหม่นี้มีชื่อว่า "Brand Impersonation Protection" โดยจะเริ่มทยอยปล่อยอัปเดตให้กับกลุ่มผู้ใช้งานแบบ Targeted Release ในช่วงกลางเดือนกุมภาพันธ์ และจะถูกเปิดใช้งานเป็นค่าเริ่มต้น (more…)

ผู้โจมตีเริ่มใช้ประโยชน์จากช่องโหว่ Authentication Bypass ใน SmarterMail ของบริษัท SmarterTools ซึ่งเป็นเซิร์ฟเวอร์อีเมลและเครื่องมือสำหรับการทำงานร่วมกัน โดยช่องโหว่นี้ส่งผลให้สามารถรีเซ็ตรหัสผ่านของผู้ดูแลระบบได้ (more…)

มีการตรวจพบแคมเปญการโจมตีแบบ Coordinated ซึ่งมุ่งเป้าไปยังช่องโหว่ที่มีความรุนแรงระดับ Critical ที่เพิ่งได้รับการเปิดเผย โดยช่องโหว่ดังกล่าวอยู่ในเซิร์ฟเวอร์ GNU InetUtils telnetd มานานถึง 11 ปีแล้ว (more…)

พบมัลแวร์บน Android ตัวใหม่ ใช้ TensorFlow machine learning models ในการตรวจจับ และโต้ตอบกับโฆษณาโดยอัตโนมัติ

กลไกนี้อาศัยการวิเคราะห์ด้วยภาพโดยใช้การเรียนรู้ของ machine learning  แทนที่จะใช้ JavaScript click routines ที่กำหนดไว้ล่วงหน้า และไม่เหมือนกับการโต้ตอบระดับ script-based DOM-level ที่ใช้สคริปต์เหมือนกับมัลแวร์คลิกแบบดั้งเดิม

(more…)