CloudZ เป็นเครื่องมือควบคุมจากระยะไกลประเภท Remote Access Trojan (RAT) เวอร์ชันใหม่ ที่มาพร้อมกับปลั๊กอินอันตรายตัวใหม่ชื่อ Pheno ซึ่งจะเข้าควบคุมการเชื่อมต่อ Microsoft Phone Link เพื่อขโมยรหัสสำคัญจากอุปกรณ์พกพา (more…)

มีการค้นพบมัลแวร์บนระบบ Linux ที่ไม่เคยถูกบันทึกข้อมูลมาก่อนชื่อ Quasar Linux (QLNX) ซึ่งกำลังมุ่งเป้าโจมตีระบบของเหล่านักพัฒนา ด้วยความสามารถผสมผสานทั้งการเป็น Rootkit, Backdoor และการขโมยข้อมูล Credential

ชุดมัลแวร์นี้ ถูกนำไปใช้งานในสภาพแวดล้อมการพัฒนา และ DevOps บน npm, PyPI, GitHub, AWS, Docker และ Kubernetes ซึ่งอาจนำไปสู่การโจมตีแบบ Supply-chain โดยผู้ไม่หวังดีจะทำการเผยแพร่แพ็กเกจอันตรายลงบนแพลตฟอร์มการกระจายโค้ดต่าง ๆ

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Trend Micro ได้วิเคราะห์ QLNX และพบว่า "มันจะใช้เทคนิค Dynamically Compiles Rootkit shared objects และ PAM backdoor modules บนเครื่องเป้าหมายอัตโนมัติ โดยใช้ gcc [GNU Compiler Collection]"

รายงานจากบริษัทในสัปดาห์นี้ระบุว่า QLNX ถูกออกแบบมาเพื่อเน้นการซ่อนตัว และการแฝงตัวอยู่ระยะยาวโดยมันจะทำงานอยู่บนหน่วยความจำ พร้อมกับลบไฟล์ไบนารีต้นฉบับออกจากดิสก์, ลบ Logs, เปลี่ยนชื่อ Process และ Clear ค่า environment variables สำหรับการทำ forensics

มัลแวร์นี้ยังใช้กลไกการแฝงตัวที่แตกต่างกันถึง 7 รูปแบบ รวมถึง LD_PRELOAD, systemd, crontab, init.

แคมเปญ Phishing ขนาดใหญ่ได้มีการกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วสหรัฐอเมริกาอย่างเงียบ ๆ โดยการใช้การเชิญร่วมงานปลอมเป็นเหยื่อล่อ แทนที่จะเป็นการส่งไฟล์แนบที่น่าสงสัย หรือลิงก์หลอกลวงที่ชัดเจน ผู้โจมตีล่อลวงเหยื่อด้วยสิ่งที่ดูเหมือนจะเป็นการเชิญร่วมงานเลี้ยง หรืองานสังสรรค์ที่ถูกต้องตามกฎหมาย

เมื่อคลิกลิงก์เหล่านั้น จะนำไปยังหน้าเว็บที่ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบ ดักจับรหัสผ่านแบบ OTP หรือติดตั้งซอฟต์แวร์การจัดการจากระยะไกล

สิ่งที่ทำให้แคมเปญนี้โดดเด่นคือขั้นตอนเริ่มต้นที่ดูธรรมดามาก เหยื่อได้รับคำเชิญ คลิกที่ลิงก์ ผ่านการตรวจสอบ CAPTCHA และเห็นหน้ากิจกรรมที่ตกแต่งอย่างสวยงาม ไม่มีอะไรเกี่ยวกับขั้นตอนนั้นที่ทำให้เกิดความกังวล และนั่นคือประเด็นสำคัญ กว่าที่อันตรายจริง ๆ จะเกิดขึ้น ไม่ว่าจะเป็นรหัสผ่านที่ถูกขโมย หรือเครื่องมือเข้าถึงจากระยะไกลที่ทำงานอย่างเงียบ ๆ อยู่เบื้องหลัง การโจมตีนั้นก็ได้ดำเนินไปแล้ว

นักวิจัยที่ ANY.RUN เป็นกลุ่มแรก ๆ ที่ได้บันทึกขอบเขตทั้งหมดของการปฏิบัติการนี้ เมื่อวันที่ 22 เมษายน 2026 นักวิเคราะห์ได้ระบุถึงแคมเปญ Phishing ที่กำหนดเป้าหมายไปยัง email service credentials โดยในบางกรณียังมีการส่งซอฟต์แวร์การจัดการจากระยะไกลอีกด้วย ภายในวันที่ 27 เมษายน ลิงก์ที่น่าสงสัยเกือบ 160 ลิงก์ได้ถูกส่งไปยัง sandbox ของ ANY.RUN พร้อมกับโดเมน Phishing ที่ถูกระบุได้ประมาณ 80 โดเมน ซึ่งส่วนใหญ่จดทะเบียนภายใต้โดเมนระดับบนสุด .de โดยเริ่มต้นตั้งแต่เดือนธันวาคม 2025

อุตสาหกรรมที่ได้รับผลกระทบมากที่สุดประกอบด้วย การศึกษา, การธนาคาร, รัฐบาล, เทคโนโลยี และการดูแลสุขภาพ ภาคส่วนเหล่านี้พึ่งพาการเข้าถึงอีเมล และเครื่องมือบริหารจัดการจากระยะไกลอย่างมาก ซึ่งทำให้เป็นเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตีที่ต้องการจะแฝงตัวเข้าไป การขโมยข้อมูลการเข้าสู่ระบบ และ OTP ในสภาพแวดล้อมใด ๆ เหล่านี้ สามารถเปิดประตูไปได้ไกลเกินกว่า Email box เพียงอย่างเดียว

แคมเปญนี้ยังแสดงสัญญาณของการสร้างเพื่อการขยายขนาด ผู้โจมตีดูเหมือนจะใช้ชุดเครื่องมือ Phishing ที่นำกลับมาใช้ใหม่ได้ เพื่อสร้างไซต์ล่อลวงในธีมกิจกรรมใหม่ ๆ ได้อย่างรวดเร็ว องค์ประกอบบางอย่างของหน้าเว็บมีร่องรอยของการสร้างเนื้อหาโดยใช้ AI ช่วย ซึ่งหมายความว่าพื้นที่การโจมตีสามารถขยายตัวได้อย่างรวดเร็ว ในขณะที่โครงสร้างพื้นฐานยังคงมีความสม่ำเสมอเพียงพอที่จะตรวจจับได้

การโจมตีแบบ Phishing ที่เปลี่ยนการเชิญร่วมงานให้กลายเป็นอาวุธ

การโจมตีเริ่มต้นด้วยลิงก์คำเชิญง่าย ๆ หลังจากคลิกแล้ว เหยื่อจะถูกนำผ่านการตรวจสอบ CAPTCHA ซึ่งส่วนใหญ่มักจะให้บริการผ่าน Cloudflare ซึ่งทำให้หน้ามีลักษณะของความน่าเชื่อถือ

ในเวอร์ชันที่ใช้ในการขโมยข้อมูล credentials หน้าเว็บจะแสดงหน้าต่างแจ้งการลงชื่อเข้าใช้ และขอให้ผู้ใช้ล็อกอินด้วยบริการอีเมลที่พวกเขาเลือก เมื่อมีใครบางคนเลือก Google พวกเขาจะถูกเปลี่ยนเส้นทางไปยังฟอร์มของ Google ปลอมที่ดูน่าเชื่อถือ ข้อมูล credentials จะถูกส่งผ่าน POST request ไปยัง server endpoints ซึ่งรวมถึง /pass[.]php และ /mlog[.]php

สำหรับบริการอื่น ๆ ทั้งหมด หน้าเว็บจะเก็บรวบรวมอีเมล และรหัสผ่าน จากนั้นจะแสดงข้อความ “รหัสผ่านไม่ถูกต้อง” อย่างจงใจ เพื่อให้ผู้ใช้กรอกรายละเอียดของพวกเขาเป็นครั้งที่สอง โดยจะดักจับข้อมูลจากการพยายามทั้งสองครั้ง เมื่อผู้ใช้ส่งรหัส OTP รหัสนั้นก็จะถูกส่งต่อไปยังผู้โจมตีอย่างเงียบ ๆ เช่นกัน

ในเวอร์ชันการส่งซอฟต์แวร์จัดการจากระยะไกล หน้าคำเชิญปลอมจะเริ่มต้นการดาวน์โหลดเครื่องมือที่ถูกต้อง เช่น ScreenConnect, ITarian, Datto RMM, ConnectWise หรือ LogMeIn Rescue บางหน้าจะมีปุ่มดาวน์โหลด ในขณะที่หน้าอื่น ๆ จะเริ่มการดาวน์โหลดโดยอัตโนมัติโดยไม่ต้องมีการดำเนินการใด ๆ เพิ่มเติม เนื่องจากสิ่งเหล่านี้เป็นเครื่องมือจริงที่ใช้กันอย่างแพร่หลาย ซอฟต์แวร์ความปลอดภัยอาจไม่ถือว่าการติดตั้งนี้เป็นภัยคุกคาม

วิธีที่ทีมรักษาความปลอดภัยสามารถลดความเสี่ยงได้

ทีมรักษาความปลอดภัยสามารถใช้รูปแบบโครงสร้างพื้นฐานที่ใช้ร่วมกันเพื่อตามหาโดเมนที่เกี่ยวข้องก่อนที่เหตุการณ์จะเกิดขึ้น

หน้า phishing ทั้งหมดในแคมเปญนี้เป็นไปตาม request chain ที่คาดเดาได้ ได้แก่: GET request ไปยัง root, ตามด้วยการ request ไปยัง /favicon.

Ivanti ได้แจ้งเตือนลูกค้าให้เร่งแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่มีระดับความรุนแรงสูงใน Endpoint Manager Mobile (EPMM) ซึ่งกำลังถูกใช้ในการโจมตีแบบ Zero-Day

CVE-2026-6973 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่ Input Validation ที่ทำให้ Hacker จากภายนอกที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบเป้าหมายที่ใช้งาน EPMM ที่มีช่องโหว่ เวอร์ชัน 12.8.0.0 และก่อนหน้า

Ivanti ได้แนะนำให้ผู้ใช้งาน EPMM เวอร์ชันที่มีช่องโหว่ ทำการอัปเดตเวอร์ชันเป็น Ivanti EPMM เวอร์ชัน 12.6.1.1, 12.7.0.1 และ 12.8.0.1 และแนะนำให้ลูกค้าตรวจสอบบัญชีที่มีสิทธิ์ผู้ดูแลระบบ และเปลี่ยนข้อมูล credentials เหล่านั้นหากจำเป็น

Ivanti ระบุว่า พบการโจมตีช่องโหว่ Zero-Day ดังกล่าว ในวงจำกัดมาก ซึ่งต้องใช้สิทธิ์ของผู้ดูแลระบบจึงจะโจมตีได้สำเร็จ โดยยังไม่มีรายละเอียดอื่น ๆ เพิ่มเติม

ช่องโหว่ CVE-2026-6973 นี้ ส่งผลกระทบเฉพาะผลิตภัณฑ์ EPMM ที่ติดตั้งบนเซิร์ฟเวอร์ภายในองค์กรเท่านั้น และไม่พบใน Ivanti Neurons for MDM, โซลูชัน endpoint management บนคลาวด์ของ Ivanti, Ivanti EPM (ผลิตภัณฑ์ที่มีชื่อคล้ายกัน แต่เป็นผลิตภัณฑ์ที่แตกต่างกัน), Ivanti Sentry หรือผลิตภัณฑ์อื่น ๆ ของ Ivanti

Shadowserver หน่วยงานตรวจสอบความปลอดภัยทางอินเทอร์เน็ต ได้ติดตาม IP addresses กว่า 850 รายการ ที่มีร่องรอยการใช้งาน Ivanti EPMM ทางออนไลน์ ส่วนใหญ่มาจากยุโรป 508 รายการ และอเมริกาเหนือ 182 รายการ อย่างไรก็ตาม ยังไม่มีข้อมูลว่ามีกี่รายการที่ได้รับการแก้ไขช่องโหว่ CVE-2026-6973 แล้ว

นอกจากนี้ Ivanti ยังได้แก้ไขช่องโหว่ EPMM ที่มีระดับความรุนแรงสูงอีก 4 รายการ (CVE-2026-5786, CVE-2026-5787, CVE-2026-5788 และ c) ซึ่งอาจทำให้ Hacker สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบ ปลอมตัวเป็น Sentry hosts ที่ลงทะเบียนไว้เพื่อรับ CA-signed client certificates ที่ถูกต้อง เรียกใช้ methods และเข้าถึงข้อมูลที่จำกัดได้

อย่างไรก็ตาม Ivanti ระบุว่า ไม่มีหลักฐานว่าช่องโหว่เหล่านี้ถูกนำไปใช้โจมตีในทางปฏิบัติ และระบุว่า CVE-2026-7821 (ซึ่ง Hacker ที่ไม่มีสิทธิ์พิเศษสามารถใช้โจมตีได้) ส่งผลกระทบเฉพาะผู้ใช้ที่ใช้งาน และกำหนดค่า Apple Device Enrollment เท่านั้น

ในเดือนมกราคม Ivanti ได้เปิดเผยช่องโหว่ code-injection ระดับ Critical 2 รายการในระบบ EPMM (CVE-2026-1281 และ CVE-2026-1340) ซึ่งถูกนำไปใช้ในการโจมตีแบบ Zero-Day ที่ส่งผลกระทบต่อลูกค้าจำนวนจำกัด โดย Ivanti แนะนำให้ผู้ใช้งานทำการเปลี่ยนข้อมูล credentials หากถูกโจมตีด้วย CVE-2026-1281 และ CVE-2026-1340 ซึ่งจะทำให้ความเสี่ยงในการถูกโจมตีช่องโหว่ CVE-2026-6973 ลดลงไปอย่างมาก

ในเดือนเมษายน 2026 หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ให้เวลาหน่วยงานรัฐบาลสหรัฐฯ 4 วันในการรักษาความปลอดภัยระบบของตนจากการโจมตีจากช่องโหว่ CVE-2026-1340

ทั้งนี้ช่องโหว่ Zero-Day อื่น ๆ ของ Ivanti EPMM อีกหลายรายการ ถูกนำไปใช้ในการโจมตีในช่วงไม่กี่ปีที่ผ่านมา เพื่อเจาะระบบเป้าหมายที่หลากหลาย รวมถึงหน่วยงานรัฐบาลทั่วโลก โดยรวมแล้ว CISA ได้ระบุช่องโหว่ของ Ivanti จำนวน 33 รายการที่กำลังถูกใช้โจมตีในวงกว้าง ซึ่ง 12 รายการในจำนวนนี้ถูกนำไปใช้โดยกลุ่ม Ransomware ต่าง ๆ ด้วย

โดย Ivanti ให้บริการ IT asset management แก่ลูกค้ากว่า 40,000 ราย ผ่านเครือข่ายพันธมิตรมากกว่า 7,000 รายทั่วโลก

ที่มา : bleepingcomputer.

ช่องโหว่ระดับ Critical ในไลบรารี Sandboxing ยอดนิยมของ Node.js อย่าง vm2 อาจทำให้ผู้โจมตีสามารถ escape ออกจาก Sandbox และรันโค้ดใด ๆ ก็ได้บนระบบของเครื่อง Host

(more…)

Google ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Gemini CLI ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ใน Automated workflows บางอย่างได้

(more…)

Palo Alto Networks เปิดเผยการตรวจพบช่องโหว่ระดับ Critical ประเภท Buffer Overflow ในซอฟต์แวร์ PAN-OS โดยมีหมายเลข CVE-2026-0300 และมีคะแนน CVSS 4.0 อยู่ที่ 9.3 (Critical) และพบว่ามีการถูกนำไปใช้ในการโจมตีจริงในวงกว้างแล้ว

(more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ ได้ตรวจพบเครือข่ายฉ้อโกงในวงกว้าง ที่ใช้ประโยชน์จากฟีเจอร์ Mini App ของ Telegram เพื่อหลอกลวงด้านคริปโตเคอร์เรนซี แอบอ้างเป็นบริษัทที่มีชื่อเสียง และแพร่กระจายมัลแวร์ในกลุ่มผู้ใช้งาน Android (more…)

พบการโจมตี Supply Chain รูปแบบใหม่ภายใต้ชื่อ “mini Shai Hulud” ซึ่งได้แพร่ระบาดไปยังแพ็กเกจ npm ที่เกี่ยวข้องกับ SAP จำนวน 4 รายการ โดยการแทรกสคริปต์อันตรายไว้ในส่วนของ preinstall ที่จะทำงานโดยอัตโนมัติขณะที่มีการติดตั้งแพ็กเกจ

การโจมตีนี้มุ่งเป้าไปที่สภาพแวดล้อมการทำงานของนักพัฒนา และระบบ CI/CD เพื่อขโมยข้อมูล Credentials จาก GitHub, npm และผู้ให้บริการคลาวด์รายใหญ่

นักวิจัยด้านความปลอดภัยจาก StepSecurity, Aikido Security, SafeDep, Socket และ Wiz พบว่า เวอร์ชันที่เป็นอันตรายของแพ็กเกจ SAP Cloud Application Programming Model (CAP) ที่ถูกต้องตามปกติ รวมถึง @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service และ mbt ถูกเผยแพร่พร้อมกับเครื่องมือที่เป็นอันตรายภายใน package.

Microsoft ได้ออกมายอมรับอย่างเป็นทางการเกี่ยวกับปัญหาที่พบใน Cumulative Update ของ Windows 11 ประจำเดือนเมษายน 2026 โดยระบุว่า คำเตือนความปลอดภัยของ Remote Desktop Protocol อาจแสดงผลไม่ถูกต้องในบางการตั้งค่าระบบ ซึ่งถือเป็นปัญหาด้านการใช้งาน (more…)