หน่วยงานด้านความปลอดภัยทางไซเบอร์ในสหรัฐอเมริกา และสหราชอาณาจักรออกแจ้งเตือนเกี่ยวกับมัลแวร์ที่มีการ Custom ขึ้นมาเป็นพิเศษที่ชื่อว่า Firestarter ซึ่งยังคงฝังตัวอยู่บนอุปกรณ์ Cisco Firepower และ Secure Firewall ที่รันซอฟต์แวร์ Adaptive Security Appliance (ASA) หรือ Firepower Threat Defense (FTD)
(more…)
Hacker ได้แฮ็กบัญชี npm ของ Axios package ซึ่งเป็น JavaScript HTTP client ที่มียอดดาวน์โหลดมากกว่า 100 ล้านครั้งต่อสัปดาห์ เพื่อส่ง Remote Access Trojans (RAT) ไปยังระบบ Linux, Windows และ macOS
(more…)
CISA เปิดเผยรายละเอียดใหม่เกี่ยวกับมัลแวร์ RESURGE ซึ่งเป็นโปรแกรมอันตรายที่แฝงตัวเข้ามา และกำลังอาจถูกใช้ในการโจมตีแบบ Zero-day โดยอาศัยช่องโหว่ CVE-2025-0282 เพื่อโจมตีระบบบนอุปกรณ์ Ivanti Connect Secure
ข้อมูลที่อัปเดตนี้เน้นไปที่ความสามารถของมัลแวร์ในการแฝงตัวอยู่บนอุปกรณ์โดยไม่ถูกตรวจพบ รวมถึงเทคนิคการหลบหลีก และการยืนยันตัวตนในระดับเครือข่ายที่มีความซับซ้อน ซึ่งจะช่วยให้มันสามารถสื่อสารกับผู้โจมตีได้อย่างลับ ๆ
ก่อนหน้านี้ CISA ได้รายงานข้อมูลของมัลแวร์ตัวนี้ไว้เมื่อวันที่ 28 มีนาคมปีที่แล้ว โดยระบุว่ามันสามารถแฝงตัวอยู่ได้แม้จะมีการรีบูตเครื่อง, สามารถสร้าง webshells เพื่อขโมยข้อมูล Credentials, สร้างบัญชีผู้ใช้ใหม่, รีเซ็ตรหัสผ่าน และยกระดับสิทธิ์การเข้าถึงระบบได้
ตามรายงานของนักวิจัยจากบริษัท Mandiant ระบุว่า ช่องโหว่ร้ายแรงระดับ Critical ดังกล่าวถูกติดตามด้วยหมายเลข CVE-2025-0282 และกำลังถูกนำมาใช้ในการโจมตีแบบ Zero-day ตั้งแต่ช่วงกลางเดือนธันวาคม 2024 โดยกลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับจีน ซึ่งทางบริษัทติดตามพฤติกรรมเป็นการภายในภายใต้ชื่อรหัส UNC5221
การซ่อนตัวในระดับเครือข่าย
ประกาศที่อัปเดตของ CISA ให้ข้อมูลทางเทคนิคเพิ่มเติมเกี่ยวกับ RESURGE ซึ่งเป็นไฟล์ Linux Shared Object แบบ 32 bit ที่เป็นอันตรายชื่อว่า libdsupgrade.
การโจมตีทางไซเบอร์ที่มีเป้าหมายไปยังโครงข่ายไฟฟ้าของโปแลนด์ ในช่วงปลายเดือนธันวาคม 2025 ได้ถูกเชื่อมโยงไปยัง Sandworm กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งพยายามปล่อยมัลแวร์ Data-wiping ตัวใหม่ที่ชื่อว่า "DynoWiper" ในระหว่างการโจมตีดังกล่าว
Sandworm (หรือที่รู้จักกันในชื่อ UAC-0113, APT44 และ Seashell Blizzard) คือกลุ่มแฮ็กเกอร์ระดับชาติของรัสเซีย ที่ปฏิบัติการมาตั้งแต่ปี 2009 เชื่อกันว่ากลุ่มนี้เป็นส่วนหนึ่งของหน่วยทหาร 74455 ภายใต้สังกัดกรมข่าวกรองหลัก (GRU) ของรัสเซีย และมีชื่อเสียงจากการก่อเหตุโจมตีที่สร้างความโกลาหล และความเสียหายอย่างรุนแรง (more…)
แคมเปญมัลแวร์ GlassWorm ที่ส่งผลกระทบต่อมาร์เก็ตเพลส OpenVSX และ Visual Studio Code เมื่อเดือนที่แล้ว ได้กลับมาอีกครั้ง โดยมาพร้อมกับ VSCode extensions ใหม่ 3 ตัว ที่มียอดดาวน์โหลดไปแล้วกว่า 10,000 ครั้ง
GlassWorm เป็นแคมเปญ และมัลแวร์ที่ใช้การโจมตีจากธุรกรรมบน Solana เพื่อดึงข้อมูล payload ที่มุ่งเป้าขโมยข้อมูล account credentials ของ GitHub, NPM และ OpenVSX รวมถึงข้อมูล cryptocurrency wallet จาก extensions 49 รายการ
มัลแวร์ตัวนี้ใช้ Unicode ที่มองไม่เห็น ซึ่งแสดงผลเป็นช่องว่าง แต่จะทำงานเป็นโค้ด JavaScript เพื่อเอื้อต่อการกระทำที่เป็นอันตราย
มัลแวร์ปรากฏตัวครั้งแรกผ่าน extensions 12 รายการบนมาร์เก็ตเพลส VS Code ของ Microsoft และ OpenVSX ซึ่งถูกดาวน์โหลดไป 35,800 ครั้ง อย่างไรก็ตาม เชื่อกันว่าจำนวนการดาวน์โหลดนั้นถูกปั่นตัวเลขโดยผู้โจมตี ทำให้ไม่ทราบผลกระทบที่แท้จริงทั้งหมดของแคมเปญนี้
เพื่อตอบสนองต่อการโจมตีครั้งนี้ OpenVSX ได้ทำการ rotated access tokens สำหรับบัญชีที่ถูก GlassWorm โจมตีเข้าไป (โดยไม่เปิดเผยจำนวน) พร้อมทั้งปรับปรุงระบบความปลอดภัย และได้ปิดเคสเหตุการณ์ดังกล่าวแล้ว
GlassWorm กลับมาอีกครั้ง
จากข้อมูลของ Koi Security ที่ติดตามแคมเปญนี้มาโดยตลอด พบว่าผู้โจมตีกลับมามุ่งเป้าที่ OpenVSX อีกครั้ง โดยใช้โครงสร้างพื้นฐานเดิม แต่มีการอัปเดต endpoints สำหรับ command-and-control (C2) และการทำธุรกรรมบนเครือข่าย Solana
OpenVSX extensions 3 รายการทีมี GlassWorm payload ได้แก่ :
ai-driven-dev.
แพ็คเกจที่เป็นอันตรายหลายรายการบน NuGet มี payload เพื่อทำลายระบบที่ถูกตั้งเวลาให้เริ่มทำงานในปี 2027 และ 2028 โดยมุ่งเป้าไปที่การใช้งานฐานข้อมูล และอุปกรณ์ควบคุมภาคอุตสาหกรรมของ Siemens S7
โค้ดอันตรายที่ฝังอยู่ใช้วิธีการกระตุ้นการทำงานแบบ probabilistic trigger ดังนั้น มันอาจจะทำงาน หรือไม่ทำงานก็ได้ ขึ้นอยู่กับชุด parameter ต่าง ๆ บนอุปกรณ์ที่ติดมัลแวร์
NuGet เป็นระบบ package manager แบบ open-source และระบบจัดจำหน่ายซอฟต์แวร์ ที่ช่วยให้นักพัฒนาสามารถดาวน์โหลด และรวมไลบรารี .NET ที่พร้อมใช้งานสำหรับ projects ของตนได้
Socket นักวิจัยจากบริษัทด้านความปลอดภัย ได้ค้นพบแพ็คเกจที่เป็นอันตราย 9 รายการบน NuGet ซึ่งทั้งหมดเผยแพร่ภายใต้นักพัฒนาที่ใช้ชื่อ "shanhai666" โดยแพ็คเกจเหล่านี้มีฟังก์ชันการทำงานที่ดูเหมือนถูกต้องตามปกติ แต่แฝงมาพร้อมกับโค้ดที่เป็นอันตราย
แพ็คเกจเหล่านี้ "มีการมุ่งเป้าในเชิงกลยุทธ์ไปยังผู้ให้บริการฐานข้อมูลหลัก 3 รายที่ใช้ในแอปพลิเคชัน .NET (SQL Server, PostgreSQL, SQLite)" อย่างไรก็ตาม แพ็คเกจที่อันตรายที่สุดในกลุ่มนี้คือ Sharp7Extend ซึ่งมุ่งเป้าไปที่ผู้ใช้ไลบรารี Sharp7 ที่ถูกต้อง ที่ใช้สำหรับการสื่อสารผ่าน ethernet กับ controllers (PLCs) แบบตั้งโปรแกรมได้ของ Siemens
นักวิจัยของ Socket ระบุว่า "ผู้ไม่หวังดีใช้การโจมตีจากนักพัฒนาที่ค้นหา extensions ของ Sharp7 ด้วยการเติมคำว่า "Extend" ต่อท้ายชื่อ Sharp7 ที่ดูน่าเชื่อถือ"
ภายใต้นักพัฒนาที่ใช้ชื่อ shanhai666 ทาง NuGet ได้แสดงรายการแพ็คเกจไว้ 12 รายการ แต่มีเพียง 9 รายการเท่านั้นที่มีโค้ดอันตรายแฝงอยู่ :
SqlUnicorn.
การโจมตีแบบ ClickFix มีการพัฒนาไปสู่รูปแบบที่ซับซ้อนยิ่งขึ้น โดยใช้วิดีโอสาธิตขั้นตอนให้เหยื่อติดตั้งมัลแวร์ด้วยตัวเอง มีตัวจับเวลานับถอยหลังเพื่อกดดันให้เหยื่อรีบปฏิบัติตามคำสั่ง และสามารถตรวจจับระบบปฏิบัติการของเครื่องเป้าหมายโดยอัตโนมัติเพื่อแสดงคำสั่งที่เหมาะสมได้อย่างแม่นยำ
(more…)
มีรายงานการค้นพบแพ็คเกจอันตราย 10 รายการบน npm registry ที่เลียนแบบ software projects ที่ถูกต้อง โดยแพ็คเกจเหล่านี้จะดาวน์โหลด component สำหรับขโมยข้อมูล ที่จะรวบรวมข้อมูลสำคัญจากระบบ Windows, Linux และ macOS
แพ็คเกจเหล่านี้ถูกอัปโหลดไปยัง npm เมื่อวันที่ 4 กรกฎาคม และไม่ถูกตรวจพบเป็นเวลานาน เนื่องจากการเข้ารหัสหลายชั้น ซึ่งช่วยให้รอดพ้นจากกลไกการวิเคราะห์โค้ดแบบทั่วไป
ตามรายงานของนักวิจัยจากบริษัทความปลอดภัยทางไซเบอร์ Socket ระบุว่า แพ็คเกจทั้ง 10 นี้มียอดดาวน์โหลดเกือบ 10,000 ครั้ง และได้ขโมยข้อมูล credentials จาก system keyrings, เบราว์เซอร์ และ authentication services
แพ็คเกจเหล่านี้ยังคงดาวน์โหลดได้ แม้ว่า Socket จะรายงานไปยัง npm แล้วก็ตาม:
typescriptjs
deezcord.
X ออกประกาศเตือนให้ผู้ใช้ทำการลงทะเบียน security keys หรือ passkeys สำหรับ two-factor authentication (2FA) ใหม่อีกครั้งก่อนวันที่ 10 พฤศจิกายน มิเช่นนั้นผู้ใช้อาจถูกล็อกไม่ให้เข้าถึงบัญชีของตนจนกว่าจะดำเนินการลงทะเบียนใหม่
ในบนแพลตฟอร์ม X บริษัทระบุว่า การเปลี่ยนแปลงนี้จะมีผลเฉพาะกับผู้ใช้ที่ใช้ หรือ hardware-based security keys เช่น YubiKey เท่านั้น
ทั้งสองวิธีการยืนยันตัวตนนี้ จะมีการป้องกันที่แข็งแกร่งต่อการโจมตีแบบฟิชชิง โดยใช้ cryptographic keys ที่ถูกจัดเก็บไว้อย่างปลอดภัยภายในอุปกรณ์ หรือระบบปฏิบัติการในการตรวจสอบตัวตนของผู้ใช้ แทนที่จะพึ่งพาข้อมูล credentials แบบเดิมซึ่งเสี่ยงต่อการถูกขโมยจากมัลแวร์ หรือการโจมตีแบบฟิชชิง
บัญชีทางการด้านความปลอดภัย (Safety) ของ X โพสต์เมื่อสัปดาห์ที่แล้วว่า ภายในวันที่ 10 พฤศจิกายนนี้ บัญชีผู้ใช้ทั้งหมดที่ใช้ security keys เป็นวิธีการยืนยันตัวตนแบบ two-factor authentication (2FA) จะต้องทำการลงทะเบียน keys ของตนใหม่ เพื่อให้สามารถเข้าถึง X ได้ตามปกติ
ผู้ใช้มีทางเลือกลงทะเบียน security keys ใหม่ได้สองวิธีคือ ลงทะเบียน security keys ที่มีอยู่แล้วซ้ำ หรือเพิ่ม security keys ใหม่ อย่างไรก็ตาม หากเลือกเพิ่ม security keys ใหม่ keys เก่าทั้งหมดจะไม่สามารถใช้งานได้อีกต่อไปจนกว่าจะลงทะเบียนซ้ำ
หลังวันที่ 10 พฤศจิกายน บัญชีที่ไม่ได้ลงทะเบียน security keys ใหม่จะถูกล็อก การเข้าถึงบัญชีจะกลับมาเป็นปกติเมื่อผู้ใช้ลงทะเบียน security keys ใหม่ ใช้วิธี 2FA แบบอื่น หรือปิดใช้งาน 2FA ทั้งนี้ X ยังคงแนะนำให้เปิดใช้งาน 2FA เพื่อความปลอดภัยสูงสุดของบัญชี
ทั้งนี้ X ชี้แจงว่าการเปลี่ยนแปลงดังกล่าวไม่ได้เกิดจากเหตุการณ์ด้านความปลอดภัย แต่เป็นผลจากการย้ายระบบจากโดเมน twitter.
LastPass กำลังแจ้งเตือนลูกค้าว่าขณะนี้มีแคมเปญฟิชชิงที่ส่งอีเมลหลอกลวง โดยภายในอีเมลมีคำขอเข้าถึง password vaults ภายใต้ข้ออ้างว่าเป็นขั้นตอนในกระบวนการสืบทอดบัญชี
กิจกรรมดังกล่าวเริ่มต้นขึ้นราวกลางเดือนตุลาคม โดยพบว่าโดเมน และโครงสร้างพื้นฐานที่ใช้มีความเชื่อมโยงกับกลุ่มผู้โจมตีซึ่งมีแรงจูงใจทางด้านการเงินที่รู้จักกันในชื่อ CryptoChameleon (UNC5356)
กลุ่ม CryptoChameleon ใช้ชุดเครื่องมือฟิชชิงที่พัฒนาเฉพาะเพื่อขโมยสินทรัพย์ดิจิทัล โดยมุ่งเป้าไปที่กระเป๋าเงินคริปโตหลายแพลตฟอร์ม เช่น Binance, Coinbase, Kraken และ Gemini ผ่านหน้าเข้าสู่ระบบปลอมของบริการชื่อดังอย่าง Okta, Gmail, iCloud และ Outlook
ผู้ใช้ LastPass เคยถูกกลุ่มเดียวกันนี้โจมตีมาแล้วในเดือนเมษายน ปี 2024 แต่ดูเหมือนว่าแคมเปญล่าสุดจะมีความซับซ้อน และครอบคลุมมากกว่าเดิม โดยคราวนี้ยังขยายเป้าหมายไปถึง passkey อีกด้วย
อีเมลฟิชชิงที่ส่งถึงผู้ใช้ LastPass แอบอ้างว่ามีสมาชิกในครอบครัวร้องขอการเข้าถึง LastPass vault ของผู้ใช้ โดยอัปโหลด “ใบมรณบัตร” เพื่อใช้เป็นเอกสารประกอบคำขอ
กระบวนการสืบทอดสิทธิ์ของ LastPass เป็นฟีเจอร์การเข้าถึงฉุกเฉินที่อนุญาตให้บุคคลที่เจ้าของบัญชีกำหนดสามารถขอเข้าถึง password vault ของตนได้ในกรณีที่เสียชีวิต หรือทุพพลภาพ
ปกติแล้วเมื่อมีการเปิดคำขอดังกล่าว เจ้าของบัญชีจะได้รับอีเมล และหลังจากระยะเวลารอสิ้นสุดลง ผู้ติดต่อจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติ
คำขอสืบทอดปลอมดังกล่าวถูกออกแบบให้ดูน่าเชื่อถือยิ่งขึ้นด้วยการใส่ หมายเลข Agent ID เพื่อสร้างความสมจริง เพื่อให้ผู้รับรีบดำเนินการยกเลิกคำขอนั้น หากตนเอง “ยังไม่เสียชีวิต” โดยคลิกที่ลิงก์ในอีเมล
อย่างไรก็ตาม ลิงก์นั้นจะนำเหยื่อไปยังเว็บไซต์ปลอม lastpassrecovery[.]com ซึ่งมีแบบฟอร์มเข้าสู่ระบบปลอม ซึ่งหลอกให้ผู้ใช้กรอกรหัสผ่าน master password ของตนลงไป
LastPass เปิดเผยว่า ในบางกรณี ผู้โจมตีได้โทรศัพท์หาผู้เสียหายโดยแอบอ้างเป็นเจ้าหน้าที่ของบริษัท และหลอกให้เหยื่อกรอกข้อมูลเข้าสู่ระบบบนเว็บไซต์ฟิชชิงที่จัดเตรียมไว้ล่วงหน้า
บริษัทระบุเพิ่มเติมว่า หนึ่งในองค์ประกอบสำคัญของการโจมตีโดยกลุ่ม CryptoChameleon ที่มุ่งเป้าไปยังผู้ใช้ LastPass คือการใช้โดเมนฟิชชิงที่เน้นการขโมย passkey โดยเฉพาะ เช่น mypasskey[.]info และ passkeysetup[.]com ซึ่งแสดงให้เห็นถึงความพยายามในการขโมยข้อมูล passkey ของเหยื่อ
ทั้งนี้ passkey เป็นมาตรฐานการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน (passwordless authentication) ที่พัฒนาบนโปรโตคอล FIDO2 / WebAuthn โดยอาศัยระบบเข้ารหัสแบบ assymmetric แทนการใช้รหัสผ่านที่ต้องจดจำ
Password managers ยุคใหม่อย่าง LastPass, 1Password, Dashlane และ Bitwarden สามารถจัดเก็บ และซิงก์ passkey ข้ามอุปกรณ์ได้แล้ว ซึ่งทำให้กลุ่มผู้ไม่หวังดีเริ่มหันมาโจมตีพวกเขาโดยตรง
ในปี 2022 LastPass ประสบเหตุข้อมูลรั่วไหลครั้งใหญ่ เมื่อผู้โจมตีขโมยข้อมูลสำรองของ password vaults ที่เข้ารหัสไว้ เหตุการณ์นี้เชื่อมโยงกับการโจมตีแบบเจาะจงเป้าหมายในภายหลัง ส่งผลให้เกิดความสูญเสียสกุลเงินดิจิทัลราว 4.4 ล้านดอลลาร์สหรัฐ
ที่มา : bleepingcomputer.