ผู้ไม่หวังดีกำลังโจมตีโดยใช้ช่องโหว่ zero-day ในไลบรารีการประมวลผลรูปภาพบนระบบ Android ของ Samsung เพื่อแพร่กระจาย Spyware ที่ยังไม่เคยถูกพบมาก่อนชื่อ 'LandFall' โดยใช้รูปภาพอันตรายที่ส่งผ่านทาง WhatsApp

ช่องโหว่ด้านความปลอดภัยดังกล่าวได้รับการแก้ไขแล้วในเดือนเมษายนที่ผ่านมา แต่นักวิจัยพบหลักฐานว่าผู้ไม่หวังดีได้เริ่มใช้ LandFall มาตั้งแต่เดือนกรกฎาคม 2024 เป็นอย่างน้อย และมุ่งเป้าไปที่ผู้ใช้ Samsung Galaxy บางรายในแถบตะวันออกกลาง

ช่องโหว่ zero-day ดังกล่าวมีหมายเลข CVE-2025-21042 ซึ่งเป็นช่องโหว่ประเภท "out-of-bounds write" ในไลบรารี libimagecodec.

แคมเปญมัลแวร์ GlassWorm ที่ส่งผลกระทบต่อมาร์เก็ตเพลส OpenVSX และ Visual Studio Code เมื่อเดือนที่แล้ว ได้กลับมาอีกครั้ง โดยมาพร้อมกับ VSCode extensions ใหม่ 3 ตัว ที่มียอดดาวน์โหลดไปแล้วกว่า 10,000 ครั้ง

GlassWorm เป็นแคมเปญ และมัลแวร์ที่ใช้การโจมตีจากธุรกรรมบน Solana เพื่อดึงข้อมูล payload ที่มุ่งเป้าขโมยข้อมูล account credentials ของ GitHub, NPM และ OpenVSX รวมถึงข้อมูล cryptocurrency wallet จาก extensions 49 รายการ

มัลแวร์ตัวนี้ใช้ Unicode ที่มองไม่เห็น ซึ่งแสดงผลเป็นช่องว่าง แต่จะทำงานเป็นโค้ด JavaScript เพื่อเอื้อต่อการกระทำที่เป็นอันตราย

มัลแวร์ปรากฏตัวครั้งแรกผ่าน extensions 12 รายการบนมาร์เก็ตเพลส VS Code ของ Microsoft และ OpenVSX ซึ่งถูกดาวน์โหลดไป 35,800 ครั้ง อย่างไรก็ตาม เชื่อกันว่าจำนวนการดาวน์โหลดนั้นถูกปั่นตัวเลขโดยผู้โจมตี ทำให้ไม่ทราบผลกระทบที่แท้จริงทั้งหมดของแคมเปญนี้

เพื่อตอบสนองต่อการโจมตีครั้งนี้ OpenVSX ได้ทำการ rotated access tokens สำหรับบัญชีที่ถูก GlassWorm โจมตีเข้าไป (โดยไม่เปิดเผยจำนวน) พร้อมทั้งปรับปรุงระบบความปลอดภัย และได้ปิดเคสเหตุการณ์ดังกล่าวแล้ว

GlassWorm กลับมาอีกครั้ง

จากข้อมูลของ Koi Security ที่ติดตามแคมเปญนี้มาโดยตลอด พบว่าผู้โจมตีกลับมามุ่งเป้าที่ OpenVSX อีกครั้ง โดยใช้โครงสร้างพื้นฐานเดิม แต่มีการอัปเดต endpoints สำหรับ command-and-control (C2) และการทำธุรกรรมบนเครือข่าย Solana

OpenVSX extensions 3 รายการทีมี GlassWorm payload ได้แก่ :

ai-driven-dev.

แพ็คเกจที่เป็นอันตรายหลายรายการบน NuGet มี payload เพื่อทำลายระบบที่ถูกตั้งเวลาให้เริ่มทำงานในปี 2027 และ 2028 โดยมุ่งเป้าไปที่การใช้งานฐานข้อมูล และอุปกรณ์ควบคุมภาคอุตสาหกรรมของ Siemens S7

โค้ดอันตรายที่ฝังอยู่ใช้วิธีการกระตุ้นการทำงานแบบ probabilistic trigger ดังนั้น มันอาจจะทำงาน หรือไม่ทำงานก็ได้ ขึ้นอยู่กับชุด parameter ต่าง ๆ บนอุปกรณ์ที่ติดมัลแวร์

NuGet เป็นระบบ package manager แบบ open-source และระบบจัดจำหน่ายซอฟต์แวร์ ที่ช่วยให้นักพัฒนาสามารถดาวน์โหลด และรวมไลบรารี .NET ที่พร้อมใช้งานสำหรับ projects ของตนได้

Socket นักวิจัยจากบริษัทด้านความปลอดภัย ได้ค้นพบแพ็คเกจที่เป็นอันตราย 9 รายการบน NuGet ซึ่งทั้งหมดเผยแพร่ภายใต้นักพัฒนาที่ใช้ชื่อ "shanhai666" โดยแพ็คเกจเหล่านี้มีฟังก์ชันการทำงานที่ดูเหมือนถูกต้องตามปกติ แต่แฝงมาพร้อมกับโค้ดที่เป็นอันตราย

แพ็คเกจเหล่านี้ "มีการมุ่งเป้าในเชิงกลยุทธ์ไปยังผู้ให้บริการฐานข้อมูลหลัก 3 รายที่ใช้ในแอปพลิเคชัน .NET (SQL Server, PostgreSQL, SQLite)" อย่างไรก็ตาม แพ็คเกจที่อันตรายที่สุดในกลุ่มนี้คือ Sharp7Extend ซึ่งมุ่งเป้าไปที่ผู้ใช้ไลบรารี Sharp7 ที่ถูกต้อง ที่ใช้สำหรับการสื่อสารผ่าน ethernet กับ controllers (PLCs) แบบตั้งโปรแกรมได้ของ Siemens

นักวิจัยของ Socket ระบุว่า "ผู้ไม่หวังดีใช้การโจมตีจากนักพัฒนาที่ค้นหา extensions ของ Sharp7 ด้วยการเติมคำว่า "Extend" ต่อท้ายชื่อ Sharp7 ที่ดูน่าเชื่อถือ"

ภายใต้นักพัฒนาที่ใช้ชื่อ shanhai666 ทาง NuGet ได้แสดงรายการแพ็คเกจไว้ 12 รายการ แต่มีเพียง 9 รายการเท่านั้นที่มีโค้ดอันตรายแฝงอยู่ :

SqlUnicorn.

ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติสวิส (NCSC) กำลังเตือนเจ้าของ iPhone เกี่ยวกับข้อความหลอกลวงที่อ้างว่าพบ iPhone ที่สูญหาย หรือถูกขโมยไป แต่แท้จริงแล้วพยายามที่จะขโมยข้อมูล credentials ของ Apple ID ของคุณ

เมื่อลูกค้า iPhone ทำโทรศัพท์หาย หรือถูกขโมย พวกเขาสามารถตั้งค่าข้อความที่กำหนดเองในแอป Find My ของ Apple ซึ่งจะปรากฏบนหน้าจอล็อก เมื่อทำหาย ข้อความนี้อาจมีอีเมล หรือหมายเลขโทรศัพท์เพื่อติดต่อเจ้าของ

จากข้อมูลของ NCSC ผู้ไม่หวังดีอาจใช้ข้อมูลนี้ส่งข้อความฟิชชิ่ง (smishing) แบบเจาะจงผ่านทาง SMS หรือ iMessage ไปยังข้อมูลติดต่อที่แสดงไว้ โดยอ้างว่ามาจากทีม Find My ของ Apple และระบุว่าพบโทรศัพท์ของพวกเขาแล้ว

NCSC อธิบายว่า การทำ iPhone หายถือเป็นเรื่องที่น่ารำคาญ ไม่เพียงแต่อุปกรณ์จะหายไป แต่ข้อมูลส่วนตัวของคุณก็อาจสูญหายไปด้วย

หลังจากทำโทรศัพท์หาย คนส่วนใหญ่ยังหวังว่าจะมีคนหามันเจอ แต่ถ้ามิจฉาชีพได้โทรศัพท์ของคุณไป พวกเขาอาจพยายามใช้ประโยชน์จากความหวังนี้ โดยส่งข้อความตัวอักษร หรือ iMessages ที่ดูเหมือนว่ามาจาก Apple โดยอ้างว่า iPhone ที่หายไปถูกพบในต่างประเทศ

ข้อความฟิชชิ่งมีรายละเอียดที่น่าเชื่อถือ เช่น รุ่นของโทรศัพท์ สี และข้อมูลอื่นใดที่สามารถดึงออกมาได้โดยตรงจากอุปกรณ์ที่ล็อกอยู่

ข้อความฟิชชิ่ง ระบุว่า "เรายินดีที่จะแจ้งให้คุณทราบว่า iPhone 14 128GB สี Midnight ที่หายไปของคุณ ถูกค้นพบเรียบร้อยแล้ว"

"หากต้องการดูตำแหน่งปัจจุบันของอุปกรณ์ของคุณ โปรดคลิกลิงก์ด้านล่าง: <phishing url>"

"หากคุณไม่ได้เป็นผู้รายงานอุปกรณ์หาย หรือเชื่อว่าข้อความนี้ถูกส่งมาโดยผิดพลาด โปรดเพิกเฉยต่อข้อความนี้ หรือติดต่อทีมสนับสนุนของเราทันที"

ข้อความฟิชชิ่งมีลิงก์ไปยังเว็บไซต์ Find My ที่อ้างว่าแสดงตำแหน่งของอุปกรณ์

อย่างไรก็ตาม แทนที่จะนำไปสู่เว็บไซต์ทางการของ Apple มันกลับเปลี่ยนเส้นทางไปยังหน้าฟิชชิ่งที่มีหน้าแจ้งให้ล็อกอินซึ่งเลียนแบบเว็บไซต์ Find My ของ Apple เมื่อเหยื่อกรอก Apple ID และรหัสผ่าน ข้อมูล credentials เหล่านั้นจะถูกส่งไปยังผู้โจมตี ทำให้พวกเขาเข้าถึงบัญชีได้อย่างเต็มรูปแบบ

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์อธิบายว่า เป้าหมายที่แท้จริงของมิจฉาชีพคือการปลดล็อกการเปิดใช้งาน (Activation Lock) ของ Apple คุณสมบัติด้านความปลอดภัยนี้ใช้เพื่อเชื่อมโยง iPhone เข้ากับ Apple ID ของเจ้าของ และป้องกันไม่ให้ผู้อื่นลบข้อมูล หรือนำไปขายต่อ

เนื่องจากไม่มีวิธีในการ Bypass การล็อกนี้ อาชญากรจึงอาศัยการโจมตีแบบฟิชชิ่งเพื่อหลอกลวงให้ผู้ใช้เปิดเผยข้อมูลประจำตัวของตน

NCSC ระบุว่า ยังไม่รู้แน่ชัดว่าผู้โจมตีได้หมายเลขโทรศัพท์ของเป้าหมายมาได้อย่างไร แต่อาจมาจากซิมการ์ดในอุปกรณ์ หรือจากข้อความที่กำหนดเองที่แสดงบนหน้าจอล็อกเมื่ออุปกรณ์นั้นถูกรายงานว่าสูญหาย

หน่วยงานแนะนำให้ทำสิ่งต่อไปนี้:

ห้ามคลิกลิงก์ในข้อความที่คุณไม่ได้ร้องขอ หรือกรอกรายละเอียด Apple ID บนเว็บไซต์ภายนอก
หากอุปกรณ์สูญหาย ให้เปิดใช้งานโหมดสูญหาย (Lost Mode) ทันทีผ่านแอป Find My หรือ iCloud.

Microsoft วางแผนที่จะนำ Defender Application Guard ออกจาก Office ภายในเดือนธันวาคม 2027 โดยจะเริ่มต้นใน Office เวอร์ชัน 2602 ที่จะปล่อยในเดือนกุมภาพันธ์ 2026

(more…)

จากการสืบสวนของ SonicWall เกี่ยวกับเหตุการณ์การละเมิดความปลอดภัยเมื่อเดือนกันยายน ซึ่งทำให้ไฟล์ configuration backup ของ Firewall ของลูกค้ารั่วไหล โดยยืนยันว่า แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอยู่เบื้องหลังการโจมตีครั้งนี้

บริษัทด้านความปลอดภัยเครือข่ายระบุว่า ทีมผู้เชี่ยวชาญด้านการรับมือเหตุการณ์จาก Mandiant ยืนยันว่า กิจกรรมที่เป็นอันตรายดังกล่าวไม่ส่งผลกระทบใด ๆ ต่อผลิตภัณฑ์, firmware, ระบบ, เครื่องมือ, source code หรือเครือข่ายของลูกค้า SonicWall

SonicWall ระบุว่า "ขณะนี้การสืบสวนของ Mandiant ได้เสร็จสิ้นแล้ว ผลการตรวจสอบยืนยันว่าปฏิบัติการซึ่งดำเนินการโดยผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ นั้น จำกัดอยู่เพียงการเข้าถึงไฟล์สำรองข้อมูลบนคลาวด์โดยไม่ได้รับอนุญาต จากสภาพแวดล้อมคลาวด์โดยเฉพาะ ผ่านการเรียกใช้ API"

“เหตุการณ์ดังกล่าวไม่ส่งผลกระทบต่อผลิตภัณฑ์ หรือ firmware ของ SonicWall ไม่มีระบบ หรือเครื่องมืออื่น ๆ ของ SonicWall รวมถึง source code หรือเครือข่ายของลูกค้าที่ได้รับผลกระทบ หรือถูกบุกรุก”

เมื่อวันที่ 17 กันยายน บริษัทสัญชาติอเมริกันรายนี้ได้เปิดเผยเหตุการณ์ที่ทำให้ไฟล์ configuration backup ของ Firewall ที่จัดเก็บไว้ในบัญชี MySonicWall บางบัญชีรั่วไหล

ผู้โจมตีสามารถดึงข้อมูลสำคัญ เช่น access credentials และ tokens ซึ่งอาจทำให้พวกเขาโจมตี Firewall ของลูกค้าได้ง่ายขึ้นอย่างมาก

บริษัทได้แนะนำให้ลูกค้าทำการรีเซ็ตข้อมูล credentials บัญชี MySonicWall, รหัสการเข้าถึงชั่วคราว, รหัสผ่านสำหรับเซิร์ฟเวอร์ LDAP, RADIUS หรือ TACACS+, รหัสผ่านสำหรับ WAN interfaces แบบ L2TP/PPPoE/PPTP และข้อมูล shared secrets ใน IPSec แบบ site-to-site และ GroupVPN policies ทันที

ในการอัปเดตเมื่อวันที่ 9 ตุลาคม SonicWall ระบุว่า การละเมิดความปลอดภัยครั้งนี้ส่งผลกระทบต่อลูกค้าทุกคนที่ใช้บริการสำรองข้อมูลบนคลาวด์ของบริษัทเพื่อจัดเก็บไฟล์ configuration ของ Firewall

นอกจากนี้ บริษัทยังรับรองว่า ปฏิบัติการของกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐฯ ที่สืบสวนนี้ ไม่มีความเชื่อมโยงกับการโจมตีจากกลุ่มแรนซัมแวร์ Akira ที่มุ่งเป้าไปที่บัญชี SonicWall VPN ในช่วงปลายเดือนกันยายน

ล่าสุด เมื่อวันที่ 13 ตุลาคม Huntress รายงานว่าพบกิจกรรมที่เป็นอันตรายเพิ่มขึ้น โดยมุ่งเป้าไปที่บัญชี SonicWall SSLVPN และสามารถเจาะระบบได้สำเร็จกว่าร้อยบัญชีโดยใช้ข้อมูล credentials ที่ถูกต้อง

Huntress ไม่พบหลักฐานใดที่เชื่อมโยงการโจมตีเหล่านี้กับการรั่วไหลของไฟล์ configuration ในเดือนกันยายน

ที่มา : bleepingcomputer

กระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคม เผยผลสอบกรณีมิจฉาชีพได้ส่งอีเมลปลอมแนบลิงก์ Phishing จำนวนมากกว่า 100,000 ฉบับไปยังประชาชน โดยแอบอ้าง และใช้โดเมนอีเมลจริงของ 4 องค์กรขนาดใหญ่ที่มีความน่าเชื่อถือ ได้แก่

ตลาดหลักทรัพย์แห่งประเทศไทย (ตลท. หรือ SET)
บริษัทหลักทรัพย์จัดการกองทุน (บลจ.) ฟินันเซีย ไซรัส
ธนาคารกรุงศรีอยุธยา (Krungsri)
สายการบินบางกอกแอร์เวย์ส (Bangkok Airways)

(more…)

มีการตรวจพบกลุ่มผู้โจมตีที่ยังไม่เคยถูกตรวจพบ ซึ่งแอบอ้างเป็นบริษัทความปลอดภัยทางไซเบอร์ ESET จากสโลวาเกีย ในการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปที่หน่วยงานของยูเครน

แคมเปญดังกล่าว ถูกตรวจพบในเดือนพฤษภาคม 2025 และถูกติดตามโดยหน่วยงานรักษาความปลอดภัยภายใต้ชื่อ InedibleOchotense โดยระบุว่ากลุ่มนี้มีแนวทางเดียวกับกลุ่มผู้โจมตีจากรัสเซีย

(more…)

Apache Software Foundation ออกมาปฏิเสธคำกล่าวอ้างที่ว่าโครงการ OpenOffice ของตนถูกโจมตีโดย Akira ransomware หลังจากที่กลุ่มผู้โจมตีอ้างว่าได้ขโมยไฟล์เอกสารขององค์กรไป 23 GB

(more…)

Cisco ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ใน Unified Contact Center Express (UCCX) software ซึ่งอาจทำให้ Hacker สามารถเรียกใช้คำสั่งด้วยสิทธิ์ root ได้

(more…)