กลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับประเทศอิหร่านกำลังมุ่งเป้าโจมตีอุปกรณ์ Programmable Logic Controllers (PLCs) ยี่ห้อ Rockwell/Allen-Bradley ที่เชื่อมต่อกับอินเทอร์เน็ต ซึ่งใช้งานอยู่ในเครือข่ายขององค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของสหรัฐฯ (more…)

F5 Networks บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้จัดประเภทช่องโหว่การโจมตีแบบ Denial-of-Service (DoS) ของ BIG-IP APM ใหม่ ให้เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่มีความรุนแรงระดับ Critical พร้อมแจ้งเตือนว่า Hackers กำลังใช้ช่องโหว่นี้เพื่อสร้าง webshell บนอุปกรณ์ที่มีช่องโหว่

BIG-IP APM (ย่อมาจาก Access Policy Manager) เป็น Centralized Access Management Proxy Solution ที่ช่วยให้ผู้ดูแลระบบสามารถรักษาความปลอดภัย และจัดการการเข้าถึงเครือข่าย, คลาวด์, แอปพลิเคชัน และ application programming interfaces (APIs) ขององค์กรได้ (more…)

Broadcom ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ ความรุนแรงระดับ High ในซอฟต์แวร์ VMware Aria Operations และ VMware Tools ซึ่งถูกใช้ในการโจมตีแบบ Zero-day มาตั้งแต่เดือนตุลาคม 2024

แม้ว่า Broadcom จะไม่ได้ระบุว่าช่องโหว่นี้ (CVE-2025-41244) ถูกนำไปใช้ในการโจมตีจริงแล้ว แต่ก็ได้กล่าวขอบคุณ Maxime Thiebaut นักวิจัยด้านภัยคุกคามจาก NVISO ที่รายงานช่องโหว่นี้เมื่อเดือนพฤษภาคม (more…)

กลุ่มแฮ็กเกอร์ APT36 จากปากีสถานกำลังใช้ไฟล์ .desktop บน Linux เพื่อติดตั้งมัลแวร์ในการโจมตีครั้งใหม่ ที่มุ่งเป้าไปยังหน่วยงานภาครัฐ และหน่วยงานด้านการป้องกันประเทศของอินเดีย (more…)

กลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ Earth Ammit ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่ม APT ที่ใช้ภาษาจีน กำลังกลายเป็นภัยคุกคามที่สำคัญต่อภาคทางการทหาร และอุตสาหกรรมในเอเชียตะวันออก

กลุ่มนี้ได้วางแผนการโจมตีสองครั้งที่แตกต่างกัน คือ VENOM และ TIDRONE โดยมุ่งเป้าไปที่ประเทศไต้หวัน และเกาหลีใต้เป็นหลัก

โดยมุ่งเน้นไปที่การแทรกซึมเข้าสู่ระบบ โดยเฉพาะอย่างยิ่งในอุตสาหกรรมโดรน และการทหาร แสดงให้เห็นถึงเจตนาเชิงกลยุทธ์ในการโจมตีเป้าหมายที่มีมูลค่าสูง

(more…)

Cado Security Labs ได้ระบุถึงแคมเปญการโจมตีด้วยมัลแวร์ที่มุ่งเป้าไปยังสำนักงานตำรวจแห่งชาติของประเทศไทย โดยแคมเปญนี้ใช้เอกสารที่ดูเหมือนจะถูกต้อง ซึ่งมีเนื้อหาเกี่ยวกับ FBI เพื่อส่งไฟล์ Shortcut ที่ในที่สุดจะทำให้เกิดการรัน Yokai backdoor และแฝงตัวอยู่ในระบบของเหยื่อ การดำเนินการที่พบในแคมเปญนี้สอดคล้องกับกลุ่ม APT จีนที่ชื่อว่า Mustang Panda (more…)

Ivanti แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ใน Endpoint Management software (EPM) ที่ทำให้ Hacker สามารถเข้าควบคุมเครื่อง enrolled devices หรือ core server ได้

Ivanti EPM เป็นซอฟต์แวร์ช่วยจัดการอุปกรณ์ไคลเอนต์ที่ใช้แพลตฟอร์มที่หลากหลาย ตั้งแต่ Windows และ macOS ไปจนถึง Chrome OS และระบบปฏิบัติการ IoT โดย Ivanti เป็นบริษัทจัดการสินทรัพย์ และระบบไอที ที่มีบริษัทใช้งานมากกว่า 40,000 แห่งทั่วโลก

ช่องโหว่ CVE-2023-39336 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) ส่งผลกระทบต่อ Ivanti EPM ทุกเวอร์ชัน และได้รับการแก้ไขไปแล้วในเวอร์ชัน 2022 Service Update 5

โดยผู้โจมตีที่สามารถเข้าถึงเครือข่ายภายในของเป้าหมาย สามารถใช้ประโยชน์จากช่องโหว่ในการโจมตีที่มีความซับซ้อนต่ำ รวมถึงไม่ต้องการสิทธิ์ที่สูง หรือการโต้ตอบจากผู้ใช้งาน

โดย Ivanti ระบุว่า “ผู้โจมตีที่สามารถเข้าถึงเครือข่ายภายใน สามารถใช้ประโยชน์จากการโจมตีแบบ SQL injection เพื่อสั่งการ SQL queries และดึงข้อมูลออกมาได้โดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ รวมถึงอาจทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องที่มีการติดตั้ง EPM agent ได้ หาก core server ได้รับการกำหนดค่าให้ใช้ SQL express ซึ่งเป็นสาเหตุให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บน core server ได้”

(more…)

EclecticIQ บริษัทความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ ได้เผยแพร่รายงานการค้นพบการโจมตีโดยกลุ่ม APT ในชื่อ Dark Pink ที่ได้ใช้มัลแวร์ KamiKakaBot โจมตีเป้าหมาย โดยมุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และหน่วยงานทางทหารในประเทศแถบเอเชียตะวันออกเฉียงใต้

Dark Pink หรือ Saaiwc ถูกพบครั้งแรกโดย Group-IB เมื่อต้นปี 2023 โดยเป็นกลุ่ม Advanced Persistent Threat (APT) ที่มีการใช้ Malware ที่สร้างขึ้นมาเอง เช่น TelePowerBot และ KamiKakaBot เพื่อโจมตี และควบคุมเป้าหมายจากระยะไกล รวมไปถึงการขโมยข้อมูลสำคัญออกไป ซึ่งมีการคาดการณ์ว่ากลุ่มผู้โจมตีมีฐานปฏิบัติการอยู่ที่เอเชียแปซิฟิก โดยเริ่มพบการโจมตีครั้งแรกในปี 2021 และเริ่มพบการโจมตีจำนวนมากขึ้นในปี 2022

การโจมตีของ KamiKakaBot

EclecticIQ พบการโจมตีครั้งล่าสุดในเดือนกุมภาพันธ์ 2023 โดยพบว่ามัลแวร์ KamiKakaBot ได้มีการพัฒนา และถูกปรับปรุงให้มีความสามารถในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยใช้วิธีการโจมตีด้วยการใช้ Phishing Email หลอกล่อให้เหยื่อทำการเปิดอีเมลที่แนบไฟล์อันตราย .ISO image ซึ่งในตัวไฟล์นั้นจะประกอบไปด้วย ไฟล์สั่งการ (Winword.

Sophos ออกรายงานการโจมตีทางไซเบอร์ในพม่า ใช้โปรแกรมของ Windows Defender ทำ "DLL side-loading" ในการโจมตี

Sophos ออกรายงานแจ้งเตือนพฤติกรรมการโจมตีโดยกลุ่ม APT จีนในพม่า พุ่งเป้าโจมตีบริษัทเอกชนและด้านการค้าในประเทศพม่า จุดน่าสนใจของการโจมตีอยู่ที่การใช้เทคนิคการโจมตีซึ่งถูกค้นพบในปี 2013 ในชื่อ DLL side-loading เพื่อหลอกให้ระบบเมื่อมีการเอ็กซีคิวต์โปรแกรมใดๆ แล้ว ให้เรียกใช้ DLL ปลอมซึ่งเป็นอันตรายแทน DLL จริง

ในกรณีของการโจมตีที่ตรวจพบ แฮกเกอร์จีนมีการใช้โปรแกรม MsMpEng.

FireEye/Mandiant ออกรายงานเมื่อวานที่ผ่านมาถึงพฤติกรรมของกลุ่ม APT ใหม่ภายใต้ชื่อ UNC1945 กลุ่มนี้มีพฤติกรรมโจมตีบริษัทด้านโทรคมนาคม, สถาบันทางด้านการเงินและบริษัทให้คำปรึกษา ไฮไลท์สำคัญของพฤติกรรมอยู่ที่การใช้ช่องโหว่ Zero-day ใน Solaris ซึ่ง FireEye/Mandiant มีการแจ้งไปในรอบแพตช์เดือนตุลาคมในการโจมตี

จุดน่าสนใจในพฤติกรรมของภัยคุกคามจากข้อมูล Threat intelligence มีตามประเด็นดังนี้

กลุ่มผู้โจมตีมีการหลบหลีกการตรวจจับโดยการปฏิบัติการใน virtual machine กับซอฟต์แวร์ QEMU ซึ่งกลุ่มฯ พัฒนามาใช้สำหรับช่วยโจมตีโดยเฉพาะ
มีการใช้ช่องโหว่ CVE-2020-14871 ใน Solaris เพื่อเข้าถึงและติดตั้งมัลแวร์สำหรับสร้างช่องทางลับ
กลุ่มผู้โจมตีมีความเชี่ยวชาญในระบบตระกูล Unix สูง มีการใช้เทคนิค SSH port forwarding เพื่อสร้างช่องทางในการติดต่อ C&C และโอนถ่ายไฟล์
ยังไม่มีการตรวจพบการขโมยข้อมูลออกจากระบบที่ถูกโจมตี แต่มีการติดตั้ง Ransomware เมื่อเสร็จสิ้นปฏิบัติการด้วย
ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมของกลุ่ม UNC1945 ได้ที่ https://www.