บริษัทผู้พัฒนา Notepad++ ระบุในแถลงการณ์อย่างเป็นทางการในวันนี้ว่า กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีน น่าจะเป็นผู้ที่อยู่เบื้องหลังการ hijacking การอัปเดต Notepad++ เมื่อปีที่แล้ว ซึ่งกินเวลานานกว่า 6 เดือน

ผู้โจมตีใช้ช่องโหว่ด้านความปลอดภัยในกระบวนการตรวจสอบความถูกต้องของระบบอัปเดตของ Notepad++ ในการดักจับ และเปลี่ยนเส้นทาง update requests ของผู้ใช้บางส่วนไปยังเซิร์ฟเวอร์ที่เป็นอันตราย จากนั้นจึงส่งไฟล์ manifest การอัปเดตที่ถูกดัดแปลงกลับไป

ผู้ให้บริการโฮสติ้งซึ่งดูแลระบบอัปเดตออกแถลงการณ์ว่า จากการตรวจสอบ logs พบหลักฐานว่าผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ที่ใช้สำหรับแอปพลิเคชันอัปเดตของ Notepad++ ได้

ผู้เชี่ยวชาญด้านความปลอดภัยภายนอกที่ร่วมการสืบสวนพบว่า การโจมตีเริ่มต้นมาตั้งแต่เดือนมิถุนายน 2025 โดยผู้พัฒนาอธิบายเพิ่มเติมว่า เหตุการณ์ดังกล่าวมีขอบเขตค่อนข้างแคบ และมีการเปลี่ยนเส้นทางไปยังโครงสร้างพื้นฐานของผู้โจมตีเฉพาะผู้ใช้บางกลุ่มเท่านั้น

แถลงการณ์ของ Notepad++ ระบุว่า ผู้โจมตีที่อยู่เบื้องหลังการโจมตีนี้ มีแนวโน้มเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งสอดคล้องกับพฤติกรรมการเลือกเป้าหมายอย่างเฉพาะเจาะจงที่ตรวจพบตลอดช่วงปฏิบัติการ ผู้โจมตีมุ่งเป้าไปที่โดเมนของ Notepad++ โดยใช้ประโยชน์จากช่องโหว่ในกระบวนการตรวจสอบความถูกต้องของการอัปเดตที่ไม่รัดกุมเพียงพอใน Notepad++ เวอร์ชันก่อนหน้า ตามการประเมินของนักวิจัยด้านความมั่นคงปลอดภัยอิสระหลายฝ่าย

ในเดือนธันวาคม Notepad++ ได้ออกเวอร์ชัน 8.8.9 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในเครื่องมืออัปเดต WinGUp หลังจากนักวิจัยหลายรายรายงานว่า ตัวอัปเดตอาจได้รับแพ็กเกจอันตรายแทนแพ็กเกจที่ถูกต้องตามปกติ

Kevin Beaumont นักวิจัยด้านความปลอดภัย เคยออกมาเตือนว่า เขาทราบว่ามีอย่างน้อยสามองค์กรที่ได้รับผลกระทบจากเหตุการณ์เข้าควบคุมกระบวนการอัปเดตลักษณะนี้ ซึ่งต่อมาพบการ reconnaissance ภายในเครือข่ายโดยตรง

Notepad++ เป็นโปรแกรมแก้ไขข้อความ และซอร์สโค้ดแบบโอเพนซอร์สที่ใช้งานได้ฟรี และได้รับความนิยมอย่างสูงในระบบปฏิบัติการ Windows โดยมีผู้ใช้หลายสิบล้านคนทั่วโลก

ผู้พัฒนาได้ชี้แจงว่า การโจมตีดังกล่าวเกิดขึ้นในเดือนมิถุนายน 2025 เมื่อผู้ให้บริการโฮสติ้งที่ดูแลซอฟต์แวร์ถูกโจมตี ทำให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลแบบกำหนดเป้าหมายได้

ในช่วงต้นเดือนกันยายน ผู้โจมตีสูญเสียการเข้าถึงระบบชั่วคราว หลังจากมีการอัปเดตเคอร์เนลของเซิร์ฟเวอร์ และเฟิร์มแวร์ อย่างไรก็ตาม กลุ่มผู้โจมตีสามารถกลับมายึดระบบได้อีกครั้ง โดยอาศัยข้อมูล credentials ของบริการภายในที่ได้มาก่อนหน้านี้ และยังไม่ได้ถูกเปลี่ยนแปลง

สถานการณ์ดังกล่าวดำเนินต่อเนื่องไปจนถึงวันที่ 2 ธันวาคม 2025 ซึ่งเป็นเวลาที่ผู้ให้บริการตรวจพบการโจมตีในที่สุด และยุติการเข้าถึงของผู้โจมตีลง

หลังเกิดเหตุ Notepad++ ได้ย้ายผู้ใช้งานทั้งหมดไปยังผู้ให้บริการโฮสติ้งรายใหม่ที่มีความปลอดภัยรัดกุมยิ่งขึ้น พร้อมทั้งเปลี่ยนข้อมูล credentials ทุกชุดที่มีความเป็นไปได้ว่าจะรั่วไหล แก้ไขช่องโหว่ที่ถูกใช้ในการโจมตี และตรวจสอบ Logs อย่างละเอียด เพื่อยืนยันว่ากิจกรรมที่เป็นอันตรายได้ยุติลงแล้ว

เพื่อให้มั่นใจในความมั่นคงปลอดภัย ผู้ใช้งาน Notepad++ ควรปฏิบัติตามขั้นตอนดังต่อไปนี้:

เปลี่ยนข้อมูล credentials สำหรับ SSH, FTP/SFTP และ MySQL
ตรวจสอบบัญชีผู้ดูแลระบบ WordPress รีเซ็ตรหัสผ่าน และลบผู้ใช้ที่ไม่จำเป็น
อัปเดต WordPress core ปลั๊กอิน และธีม พร้อมเปิดใช้การอัปเดตอัตโนมัติหากทำได้

ตั้งแต่ Notepad++ เวอร์ชัน 8.8.9 เป็นต้นไป WinGUp จะทำการตรวจสอบ certificates และ signatures ของตัวติดตั้ง และไฟล์ XML สำหรับการอัปเดตที่ได้รับ cryptographically signed เพื่อยืนยันความถูกต้องแล้ว

นักพัฒนาได้ให้ข้อมูลเพิ่มเติมว่า มีแผนที่จะเริ่มการตรวจ certificate signature แบบบังคับใช้ในเวอร์ชัน 8.9.2 ซึ่งคาดว่าจะพร้อมใช้งานในอีกประมาณหนึ่งเดือนข้างหน้า

BleepingComputer ได้ติดต่อ Don Ho ผู้พัฒนาหลักของ Notepad++ เพื่อขอข้อมูล Indicators of Compromise (IoCs) หรือรายละเอียดอื่น ๆ ที่จะช่วยให้ผู้ใช้ตรวจสอบว่าตนได้รับผลกระทบหรือไม่

อย่างไรก็ตาม Don Ho รายงานว่า ในระหว่างการตรวจสอบ Logs ทีม Incident Response (IR) ตรวจพบร่องรอยการบุกรุก แต่ไม่พบ IoCs นอกจากนี้ เขายังกล่าวเสริมว่า ทั้งทีม IR และตัวเขาเองได้พยายามร้องขอข้อมูล IoCs โดยตรงจากผู้ให้บริการโฮสติ้งรายเดิม แต่ไม่สามารถขอรับข้อมูลดังกล่าวได้

กลุ่ม APT จากจีนที่รู้จักในชื่อ Lotus Blossom (หรือที่เรียกอีกชื่อว่า Raspberry Typhoon, Bilbug และ Spring Dragon) ถูกเปิดโปงโดยนักวิจัยจาก Rapid7 ว่าเป็นผู้อยู่เบื้องหลังการโจมตีดังกล่าว โดยได้ใช้แบ็กดอร์ที่ปรับแต่งเฉพาะ และไม่เคยมีการบันทึกมาก่อน ซึ่งนักวิจัยตั้งชื่อให้ว่า Chrysalis

เนื่องจากมีคุณสมบัติจำนวนมากที่ถูกค้นพบ นักวิจัยจึงเชื่อว่า Chrysalis เป็นเครื่องมือที่มีความซับซ้อน ซึ่งถูกออกแบบมาเพื่อทำหน้าที่อย่างถาวรในระบบของเหยื่อ

นักวิจัยได้เผยแพร่บทวิเคราะห์ทางเทคนิคโดยละเอียดเกี่ยวกับมัลแวร์นี้ อย่างไรก็ตาม พวกเขาระบุว่าไม่มีหลักฐานที่ชัดเจนเพียงพอที่จะยืนยันว่าการโจมตีในครั้งนี้มีการใช้ประโยชน์จากกลไกการอัปเดตที่เกี่ยวข้อง

Rapid7 ระบุว่า "พฤติกรรมเดียวที่ได้รับการยืนยันคือกระบวนการ 'notepad++.exe' ตามด้วย 'GUP.exe' ทำงานก่อนที่จะมีการรันกระบวนการที่น่าสงสัยชื่อ 'update.

พบ Hacker มุ่งเป้าไปที่ MongoDB instance ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ต ด้วยการโจมตีจาก Ransomware แบบอัตโนมัติ โดยเรียกร้องค่าไถ่จำนวนเล็กน้อยจากเจ้าของเพื่อกู้คืนข้อมูล

Hacker มุ่งเน้นไปที่เป้าหมายที่เข้าถึงได้ง่าย นั่นคือฐานข้อมูลที่ตั้งค่าที่ไม่ถูกต้อง ซึ่งอนุญาตให้เข้าถึงได้โดยไม่มีข้อจำกัด เซิร์ฟเวอร์ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ตประมาณ 1,400 เครื่องถูกโจมตี พร้อมข้อความเรียกค่าไถ่ที่เรียกร้องค่าไถ่ประมาณ 500 ดอลลาร์สหรัฐในสกุลเงิน Bitcoin

พบว่าตั้นแต่ปี 2021 มีการโจมตีเกิดขึ้นมากมาย มีการลบฐานข้อมูลหลายพันรายการ และเรียกค่าไถ่เพื่อกู้คืนข้อมูล โดยบางครั้ง Hacker ก็ลบฐานข้อมูลโดยไม่เรียกร้องเงิน

การทดสอบเจาะระบบจากนักวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ Flare เปิดเผยว่าการโจมตีเหล่านี้ยังคงมีอยู่ เพียงแต่พบการโจมตีในขนาดที่เล็กลง

นักวิจัยค้นพบ MongoDB instance ที่เปิดเผยสู่สาธารณะมากกว่า 208,500 เครื่อง ซึ่งในจำนวนนั้น 100,000 เครื่อง เปิดเผยข้อมูลการดำเนินงาน และ 3,100 เครื่อง สามารถเข้าถึงได้โดยไม่ต้องมีการยืนยันตัวตน

ทั้งนี้เกือบครึ่งหนึ่ง (45.6%) ของเครื่อง MongoDB instance ที่เข้าถึงได้โดยไม่มีข้อจำกัดนั้นถูกโจมตีไปแล้ว เมื่อ Flare ทำการตรวจสอบ พบว่าฐานข้อมูลถูกลบไปหมดแล้ว และมีการทิ้งข้อความเรียกค่าไถ่ไว้ให้ชำระเงิน 0.005 BTC ภายใน 48 ชั่วโมง

รายงานของ Flare ระบุว่า Hacker เรียกร้องให้ชำระเงินเป็น Bitcoin (มักจะประมาณ 0.005 BTC ซึ่งเทียบเท่ากับ 500-600 ดอลลาร์สหรัฐในปัจจุบัน) ไปยังที่อยู่กระเป๋า Bitcoin ที่ระบุไว้ โดยสัญญาว่าจะกู้คืนข้อมูลให้ แต่ไม่มีหลักประกันว่า Hacker จะมีข้อมูล หรือจะให้รหัสถอดรหัสที่ใช้งานได้จริงหากได้รับเงิน

รวมถึงพบว่ามีที่อยู่กระเป๋า Bitcoin ที่แตกต่างกันเพียงห้าแห่ง ในข้อความเรียกค่าไถ่ที่ถูกทิ้งไว้ และหนึ่งในนั้นพบได้บ่อยในประมาณ 98% ของการโจมตี ซึ่งแสดงให้เห็นว่ามี Hacker เพียงรายเดียวที่มุ่งเป้าไปที่การโจมตีเหล่านี้

Flare ยังแสดงความคิดเห็นเกี่ยวกับ MongoDB instance ที่เหลืออยู่ซึ่งดูเหมือนจะไม่ได้รับผลกระทบ แม้ว่า MongoDB instance เหล่านั้นจะเข้าถึงได้จากอินเตอร์เน็ต และมีการรักษาความปลอดภัยที่ไม่ดี โดยตั้งสมมติฐานว่าเป้าหมายอาจจ่ายค่าไถ่ให้กับ Hacker ไปแล้ว

นอกเหนือจากมาตรการการยืนยันตัวตนที่ไม่ดีแล้ว นักวิจัยยังพบว่าเกือบครึ่งหนึ่ง (95,000) ของ MongoDB instance ที่เข้าถึงได้จากอินเตอร์เน็ตทั้งหมด ใช้เวอร์ชันเก่าที่มีช่องโหว่ n-day อย่างไรก็ตาม ศักยภาพของช่องโหว่ส่วนใหญ่จำกัดอยู่เพียงการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service) ไม่ใช่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)

Flare แนะนำว่า ผู้ดูแลระบบ MongoDB ควรหลีกเลี่ยงการเปิดเผยอินสแตนซ์ต่อสาธารณะเว้นแต่จำเป็น ใช้วิธีการยืนยันตัวตนที่เข้มงวด ตั้งค่า Firewall Rules และ Kubernetes Network Policy ที่อนุญาตเฉพาะการเชื่อมต่อที่เชื่อถือได้ และหลีกเลี่ยงการคัดลอก configurations จากคู่มือการใช้งาน

รวมถึงควรมีการอัปเดต MongoDB ให้เป็นเวอร์ชันล่าสุด และตรวจสอบการเปิดให้เข้าถึงจากอินเตอร์เน็ตอย่างต่อเนื่อง ในกรณีที่มีการเปิดให้เข้าถึงจากอินเตอร์เน็ต ข้อมูล credentials จะต้องได้รับการ rotated และตรวจสอบ Log เพื่อหาพฤติกรรมที่น่าสงสัย

ที่มา : bleepingcomputer

IPIDEA หนึ่งในเครือข่าย Residential Proxy รายใหญ่ที่สุดที่กลุ่มผู้ไม่หวังดีนิยมใช้งาน ถูกระงับการทำงานเมื่อช่วงต้นสัปดาห์ที่ผ่านมาโดย Google Threat Intelligence Group (GTIG) ภายใต้ความร่วมมือกับพันธมิตรในอุตสาหกรรม

การปฏิบัติการครั้งนี้รวมถึงการสั่งปิด Domain ที่เกี่ยวข้องกับบริการของ IPIDEA, ระบบจัดการอุปกรณ์ที่ติดมัลแวร์ และการกำหนด Traffic routing ของ Proxy นอกจากนี้ ยังมีการแบ่งปันข้อมูลเชิงลึกเกี่ยวกับชุดเครื่องมือพัฒนาซอฟต์แวร์ (SDK) ของ IPIDEA ที่ใช้ในการแพร่กระจายเครื่องมือ Proxy ดังกล่าวอีกด้วย

(more…)

พบการหมุนเวียนของสกุลเงินดิจิทัลที่ผิดกฎหมายพุ่งสูงเป็นประวัติการณ์ถึง 1.58 แสนล้านดอลลาร์ในปี 2025 ซึ่งสวนทางกับแนวโน้มที่ลดลงมาตลอด 3 ปี หลังจากที่ยอดเงินเคยลดลงจาก 8.6 หมื่นล้านดอลลาร์ในปี 2021 เหลือเพียง 6.4 หมื่นล้านดอลลาร์ในปี 2024

การเพิ่มขึ้นอย่างก้าวกระโดดถึง 145% นี้ได้รับการรายงานโดยTRM Labs บริษัทผู้เชี่ยวชาญด้านการวิเคราะห์บล็อกเชน แม้ว่าสัดส่วนการกระทำที่ผิดกฎหมายของปริมาณธุรกรรมทั้งหมดบนบล็อกเชนจะลดลงเล็กน้อยจาก 1.3% ในปี 2024 เหลือ 1.2% ในปี 2025 ก็ตาม

(more…)

พบภัยคุกคามทางไซเบอร์รูปแบบใหม่บน Android ที่ใช้วิธีการ Social Engineering ผสมผสานกับการอาศัยแพลตฟอร์ม Machine Learning ที่ดูน่าเชื่อถือ เพื่อแพร่กระจายมัลแวร์อันตรายไปยังอุปกรณ์ต่าง ๆ ของผู้ใช้งาน

การโจมตีจะเริ่มต้นขึ้นเมื่อผู้ใช้งานเห็นการแจ้งเตือนความปลอดภัยปลอม ที่อ้างว่าโทรศัพท์ของตนติดมัลแวร์ และจำเป็นต้องได้รับการป้องกัน ข้อความหลอกลวงเหล่านี้จะชักจูงให้ผู้ใช้ดาวน์โหลดแอปรักษาความปลอดภัยปลอมที่ชื่อว่า TrustBastion ซึ่งในตอนแรกดูเหมือนจะไม่เป็นอันตราย

(more…)

มีการเปิดเผยข้อมูลเกี่ยวกับช่องโหว่ Code-injection ระดับ Critical จำนวน 2 รายการ บนแพลตฟอร์ม Endpoint Manager Mobile (EPMM) ซึ่งพบว่ากำลังถูกผู้โจมตีนำไปใช้ในการโจมตีจริง

ช่องโหว่ความปลอดภัยดังกล่าว มีหมายเลข CVE-2026-1281 และ CVE-2026-1340 ทำให้ผู้โจมตีสามารถสั่งเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่มีช่องโหว่ได้ทันที โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน

(more…)

การโจมตีทางไซเบอร์ที่มีเป้าหมายไปยังโครงข่ายไฟฟ้าของโปแลนด์ ในช่วงปลายเดือนธันวาคม 2025 ได้ถูกเชื่อมโยงไปยัง Sandworm กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งพยายามปล่อยมัลแวร์ Data-wiping ตัวใหม่ที่ชื่อว่า "DynoWiper" ในระหว่างการโจมตีดังกล่าว

Sandworm (หรือที่รู้จักกันในชื่อ UAC-0113, APT44 และ Seashell Blizzard) คือกลุ่มแฮ็กเกอร์ระดับชาติของรัสเซีย ที่ปฏิบัติการมาตั้งแต่ปี 2009 เชื่อกันว่ากลุ่มนี้เป็นส่วนหนึ่งของหน่วยทหาร 74455 ภายใต้สังกัดกรมข่าวกรองหลัก (GRU) ของรัสเซีย และมีชื่อเสียงจากการก่อเหตุโจมตีที่สร้างความโกลาหล และความเสียหายอย่างรุนแรง (more…)

กลุ่มแฮ็กเกอร์ ShinyHunters ออกมาอ้างความรับผิดชอบต่อการโจมตีด้วยวิธี Voice phishing ที่กำลังดำเนินอยู่อย่างต่อเนื่อง โดยมีเป้าหมายที่บัญชี Single Sign-On (SSO) ของ Okta, Microsoft และ Google

การโจมตีเหล่านี้ทำให้ผู้ไม่หวังดีสามารถโจมตีเข้าสู่แพลตฟอร์ม SaaS ขององค์กร และขโมยข้อมูลของบริษัทไปเพื่อทำการข่มขู่เรียกเงินได้

(more…)

กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่ชื่อว่า Konni (หรือเป็นที่รู้จักในชื่อ Opal Sleet, TA406) กำลังใช้มัลแวร์ PowerShell ที่สร้างขึ้นโดย AI เพื่อมุ่งเป้าโจมตีนักพัฒนา และวิศวกรในวงการ Blockchain

เชื่อกันว่ากลุ่ม Konni มีความเชื่อมโยงกับกลุ่ม APT37 และ Kimsuky โดยกลุ่มนี้มีการเคลื่อนไหวมาตั้งแต่อย่างน้อยปี 2014 และถูกตรวจพบว่าได้มุ่งเป้าโจมตีองค์กรต่าง ๆ ในเกาหลีใต้, รัสเซีย, ยูเครน และหลาย ๆ ประเทศในยุโรป

จากการวิเคราะห์ตัวอย่างโดยนักวิจัยของ Check Point พบว่าแคมเปญล่าสุดของกลุ่มผู้ไม่หวังดีเน้นเป้าหมายไปที่ภูมิภาคเอเชียแปซิฟิก เนื่องจากมีการส่งตัวอย่างมัลแวร์ดังกล่าวเข้ามาตรวจสอบจากประเทศญี่ปุ่น, ออสเตรเลีย และอินเดีย

การโจมตีเริ่มต้นเมื่อเหยื่อได้รับลิงก์ที่ฝากไว้บน Discord ซึ่งจะส่งไฟล์ ZIP ที่ภายในประกอบด้วยไฟล์ PDF สำหรับล่อลวง และไฟล์ LNK shortcut (.LNK) ที่เป็นอันตราย

ไฟล์ LNK ดังกล่าวจะสั่งทำงานตัว PowerShell loader ที่ฝังอยู่ เพื่อแตกไฟล์เอกสาร DOCX และไฟล์ CAB archive ออกมา โดยภายในประกอบด้วย PowerShell Backdoor, ไฟล์ Batch สองไฟล์ และไฟล์ Executable สำหรับหลบเลี่ยงระบบ UAC (User Account Control)

เมื่อเปิดไฟล์ shortcut เอกสาร DOCX จะถูกเปิดขึ้นพร้อมกับการสั่งรันไฟล์ Batch หนึ่งไฟล์ที่รวมอยู่ในไฟล์ Cabinet นั้น

เอกสาร DOCX ที่ใช้หลอกลวง แสดงให้เห็นเจตนาว่าแฮ็กเกอร์ต้องการโจมตีเข้าสู่ development environments ซึ่งจะช่วยให้พวกเขาสามารถเข้าถึง Assets ที่สำคัญ ได้แก่ โครงสร้างพื้นฐาน, ข้อมูล API credentials, การเข้าถึง Wallet และท้ายที่สุดคือเหรียญ Cryptocurrency ที่ถือครองอยู่"

ไฟล์ Batch ไฟล์แรกจะสร้าง Staging Directory สำหรับตัว Backdoor และไฟล์ Batch ไฟล์ที่สอง จะสร้าง Scheduled Task ให้ทำงานทุกชั่วโมง โดยอำพรางตัวเป็น Startup Task ของ OneDrive

Task ดังกล่าวจะอ่านสคริปต์ PowerShell ที่ถูกเข้ารหัสแบบ XOR จาก Disk และทำการถอดรหัสเพื่อสั่งประมวลผลภายในหน่วยความจำ จากนั้นในขั้นตอนสุดท้าย มันจะลบตัวเองทิ้งเพื่อกำจัดร่องรอยของการติดมัลแวร์

Backdoor ที่ถูกสร้างขึ้นโดย AI

ตัว PowerShell backdoor ดัวกล่าวจะถูกอำพรางไว้อย่างซับซ้อน โดยอาศัยการเข้ารหัส String ที่อิงตามหลัก Arithmetic การสร้าง String ขึ้นใหม่ในขณะที่โปรแกรมกำลังทำงาน และการสั่งทำงาน Logic ส่วนสุดท้ายผ่านคำสั่ง ‘Invoke-Expression’

นักวิจัยระบุว่ามัลแวร์ PowerShell ตัวนี้ แสดงให้เห็นอย่างชัดเจนว่าถูกพัฒนาขึ้นโดยมี AI เข้ามาช่วยเหลือ มากกว่าจะเป็นมัลแวร์ที่เขียนขึ้นโดย Operator ตามวิธีแบบดั้งเดิม

หลักฐานที่นำไปสู่ข้อสรุปดังกล่าว ได้แก่ การมีส่วนเอกสารกำกับที่ชัดเจน และเป็นโครงสร้างอยู่ที่ส่วนบนของสคริปต์ ซึ่งถือเป็นเรื่องที่ผิดปกติสำหรับการพัฒนามัลแวร์ รวมไปถึงการจัดวางรูปแบบโค้ดที่เป็นระเบียบแบ่งเป็นสัดส่วน และการปรากฏอยู่ของคอมเมนต์ที่เขียนว่า “# <– your permanent project UUID”

Check Point อธิบายว่า "การใช้ถ้อยคำเช่นนี้เป็นลักษณะเด่นอย่างมากของโค้ดที่สร้างขึ้นโดย LLM (Large Language Model) ซึ่งตัวโมเดลจะระบุคำแนะนำแก่ผู้ใช้อย่างชัดเจนถึงวิธีการปรับแก้ค่าที่เว้นว่างไว้ (Placeholder value)"

"คอมเมนต์ลักษณะนี้มักพบได้ทั่วไปในสคริปต์ และบทเรียนสอนเขียนโค้ดที่สร้างขึ้นโดย AI"

ก่อนที่จะเริ่มทำงาน มัลแวร์จะทำการตรวจสอบ Hardware, Software และกิจกรรมของผู้ใช้ เพื่อให้มั่นใจว่ามันไม่ได้กำลังถูกรันอยู่ในสภาพแวดล้อมสำหรับการวิเคราะห์ จากนั้นจึงจะสร้าง Host ID ที่ไม่ซ้ำกันขึ้นมา

ลำดับถัดไป ขึ้นอยู่กับระดับสิทธิ์การสั่งการ ที่ตัวมัลแวร์มีอยู่บนเครื่องที่ถูกโจมตีระบบ มัลแวร์จะเลือกดำเนินการตามเส้นทางที่แตกต่างกัน ดังที่แสดงในแผนภาพต่อไปนี้

เมื่อ Backdoor ทำงานอย่างสมบูรณ์บนอุปกรณ์ที่ติดมัลแวร์ มันจะติดต่อไปยังเซิร์ฟเวอร์ C2 เป็นระยะเพื่อส่งข้อมูล Metadata พื้นฐานของเครื่อง Host และส่ง Request ข้อมูลไปยังเซิร์ฟเวอร์ในช่วงเวลาแบบสุ่ม

หากการตอบกลับจาก C2 มีโค้ด PowerShell แนบมาด้วย มันจะแปลงโค้ดนั้นให้เป็น Script block และสั่งประมวลผลแบบ Asynchronously โดยอาศัยการทำงานอยู่เบื้องหลัง

ทาง Check Point ระบุว่า การโจมตีเหล่านี้เป็นฝีมือของกลุ่มผู้ไม่หวังดี Konni โดยอ้างอิงจากรูปแบบตัว Launcher ในอดีต ความซ้ำซ้อนของชื่อไฟล์หลอกลวง และชื่อสคริปต์ รวมถึงความคล้ายคลึงกันในโครงสร้าง Execution chain เมื่อเทียบกับการโจมตีก่อนหน้านี้

นักวิจัยได้เผยแพร่ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญล่าสุดนี้ เพื่อช่วยให้ฝ่ายป้องกันสามารถปกป้อง Assets ของตนได้

ที่มา : bleepingcomputer

พบช่องโหว่ระดับความรุนแรงสูงในปลั๊กอิน Advanced Custom Fields: Extended (ACF Extended) สำหรับ WordPress ซึ่งสามารถถูกโจมตีจากระยะไกลโดยผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน โดยทำให้สามารถเข้ายึดสิทธิ์ระดับผู้ดูแลระบบได้

ACF Extended ซึ่งปัจจุบันใช้งานอยู่บนเว็บไซต์กว่า 100,000 แห่ง เป็นปลั๊กอินเฉพาะที่ช่วยขยายขีดความสามารถของปลั๊กอิน Advanced Custom Fields (ACF) ด้วยคุณสมบัติต่าง ๆ สำหรับนักพัฒนา และผู้สร้างเว็บไซต์ระดับสูง (more…)