ผู้โจมตีที่ใช้ภาษารัสเซียรายหนึ่ง ได้อาศัย Google Gemini เวอร์ชันที่ถูก jailbreak ในการดำเนินปฏิบัติการชักจูงทางความคิดแนว MAGA ต่อเนื่องยาวนานถึง 5 ปี พร้อมทั้งใช้มันช่วยเจาะข้อมูลบัญชีผู้ดูแลระบบ WordPress และขโมยคริปโตจากกระเป๋าเงินของเหยื่ออย่างน้อยหนึ่งราย โดยแทบไม่ต้องเสียค่าใช้จ่ายใด ๆ เพราะอาศัย API key ที่ขโมยมาใช้งาน (more…)

 

7-Eleven ยักษ์ใหญ่แห่งวงการร้านสะดวกซื้อ ออกมายืนยันว่าระบบของบริษัทถูกโจมตีทางไซเบอร์ ซึ่งกลุ่มแฮ็กเกอร์ ShinyHunters ได้ออกมาอ้างความรับผิดชอบเมื่อเดือนที่ผ่านมา (more…)

เหตุการณ์โจมตี Source code repository ของ Trellix ที่ถูกเปิดเผยเมื่อสัปดาห์ที่แล้ว ทางกลุ่มแฮ็กเกอร์ RansomHouse ได้ออกมาอ้างความรับผิดชอบ พร้อมทั้งปล่อยภาพจำนวนหนึ่งออกมาเพื่อเป็นหลักฐานในการโจมตีครั้งนี้ (more…)

มีการตรวจพบเครือข่ายมัลแวร์ประเภท Proxy ของ SystemBC ที่มีโฮสต์มากกว่า 1,570 เครื่อง ซึ่งเชื่อว่าเป็นเหยื่อขององค์กรต่าง ๆ หลังจากการสืบสวนการโจมตีของแรนซัมแวร์ Gentlemen ที่ดำเนินการโดยพันธมิตรของกลุ่มอาชญากรนี้ (more…)

ChipSoft ผู้จำหน่ายซอฟต์แวร์ด้านสุขภาพจากประเทศเนเธอร์แลนด์ ได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ ซึ่งบีบให้บริษัทต้องปิดเว็บไซต์ และบริการดิจิทัลสำหรับผู้ป่วย และผู้ให้บริการทางการแพทย์ชั่วคราว (more…)

การโจมตีด้วย Ransomware ก้าวล้ำไปไกลกว่าเพียงแค่การใช้โค้ดที่เป็นอันตรายแบบธรรมดา ปัจจุบันผู้โจมตีดำเนินการด้วยความแม่นยำราวกับธุรกิจที่มีการวางแผนมาอย่างดี โดยการใช้เครื่องมือที่น่าเชื่อถือของ Windows เข้ามาทำลายระบบป้องกันอย่างเงียบ ๆ ก่อนที่ Ransomware จะเริ่มเข้ามามีบทบาท

การเปลี่ยนแปลงในครั้งนี้ ทำให้การโจมตีด้วย Ransomware สมัยใหม่ตรวจจับได้ยากขึ้น และสร้างความเสียหายได้รุนแรงกว่าเดิมเป็นอย่างมาก

เครื่องมือที่เป็นหัวใจสำคัญของภัยคุกคามนี้ไม่ได้ถูกออกแบบมาเพื่อการก่ออาชญากรรม แต่เป็น Utilities เช่น Process Hacker, IOBit Unlocker, PowerRun และ AuKill ซึ่งเดิมทีถูกสร้างขึ้นมาเพื่อให้ทีม IT ใช้จัดการกระบวนการปลดล็อกไฟล์ และแก้ไขปัญหาของระบบในเวลาปกติ

ผู้โจมตีได้นำเครื่องมือเหล่านี้มาดัดแปลงวัตถุประสงค์เพื่อปิดการทำงานของโปรแกรม Antivirus และซอฟต์แวร์ Endpoint Detection and Response (EDR) อย่างเงียบ ๆ ก่อนที่จะเรียกใช้งาน Ransomware

เนื่องจากเครื่องมือเหล่านี้มี digital signed และมีการใช้งานแพร่หลายในสภาพแวดล้อมระดับองค์กร ระบบรักษาความปลอดภัยส่วนใหญ่จึงถือว่าเป็นการจัดการตามปกติ ซึ่งทิ้งร่องรอยไว้น้อยมาก

นักวิจัยจาก Seqrite ได้ระบุถึงรูปแบบที่กำลังเติบโตนี้ และตั้งข้อสังเกตว่าการใช้เครื่องมือ Low-level ที่ถูกต้องในทางที่ผิด ซึ่งได้กลายเป็นเอกลักษณ์สำคัญของการโจมตีด้วย Ransomware ในปัจจุบัน ตั้งแต่ LockBit 3.0 และ BlackCat ไปจนถึง Dharma, Phobos และ MedusaLocker

งานวิจัยแสดงให้เห็นว่า กลุ่มผู้โจมตีเหล่านี้ไม่ได้พึ่งพาเพียงแค่มัลแวร์ที่เขียนขึ้นมาเองเท่านั้น แต่พวกเขายังทำการศึกษาเป้าหมายอย่างละเอียด ระบุจุดอ่อนด้านความปลอดภัย และใช้เครื่องมือที่สร้างขึ้นเพื่อรักษาความปลอดภัยของระบบเป็นอาวุธ

การปิดการทำงานของ antivirus ไม่ใช่ขั้นตอนรอง แต่เป็นส่วนสำคัญที่ถูกวางแผนมาอย่างจงใจ เพราะเมื่อซอฟต์แวร์รักษาความปลอดภัยยังทำงานอยู่ มันจะสามารถบล็อกไฟล์อันตรายขณะรันโปรแกรม ตรวจจับพฤติกรรมการเข้ารหัสข้อมูลที่ผิดปกติ และแจ้งเตือนทีมรักษาความปลอดภัยได้แบบเรียลไทม์

โดยการปิดระบบป้องกันเหล่านี้ก่อน ผู้โจมตีจะสร้างช่องทางเงียบ ๆ ที่ Ransomware สามารถทำงานได้อย่างอิสระ และไม่ถูกขัดจังหวะ

กลยุทธ์นี้มีการพัฒนาอย่างก้าวกระโดดในช่วงหลายปีที่ผ่านมา จาก Command-line scripts พื้นฐาน ที่ใช้ในภัยคุกคามยุคแรก ๆ เช่น CryptoLocker และ WannaCry ไปสู่การจัดการ Driver ระดับ Kernel ที่พบในแคมเปญ Conti และ LockBit 2.0 และในปัจจุบันคือ Antivirus killer modules แบบสำเร็จรูปที่ฝังอยู่ใน Ransomware-as-a-Service (RaaS) โดยตรง

ขอบเขตของภัยคุกคามนี้ครอบคลุมองค์กรทุกขนาด ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรขนาดใหญ่ โดยเส้นทางการโจมตีมักจะเป็นไปตามลำดับขั้นตอนที่จงใจใช้เครื่องมือที่น่าเชื่อถือในทุกระดับเพื่อหลบเลี่ยงการตรวจจับ

การใช้ประโยชน์จากเครื่องมือ Windows แบบ 2 ขั้นตอน

เมื่อผู้โจมตีสามารถเจาะเข้าสู่ระบบได้แล้ว พวกเขาจะดำเนินกระบวนการ 2 ขั้นตอน เพื่อจัดการกับระบบความปลอดภัยอย่างเป็นระบบก่อนที่ Ransomware จะเริ่มทำงาน

ในขั้นตอนแรกนี้ เป้าหมายคือการทำให้ Antivirus ใช้งานไม่ได้ และการยกระดับสิทธิ์เครื่องมืออย่าง IOBit Unlocker เพื่อลบไฟล์ Binaries ของ Antivirus โดยใช้ API NtUnlockFile ในขณะที่ TDSSKiller เดิมเป็นเครื่องมือลบ Rootkit แต่ถูกนำมาใช้ในการ Unload Driver ของ Antivirus ออกจาก Kernel เพื่อไม่ให้ระบบป้องกันโหลดกลับมาใหม่ได้

Process Hacker จะยุติ Process ของ Antivirus โดยใช้ช่องโหว่ SeDebugPrivilege และ Atool_ExperModel เพื่อลบค่า Registry ที่ใช้ในการเริ่มระบบของ Antivirus รวมถึงลบ Scheduled Tasks เพื่อตัดวงจรการกู้คืนระบบป้องกัน

ขั้นตอนที่สองเป็นขั้นตอนที่การโจมตีมีความอันตรายที่สุด เมื่อซอฟต์แวร์รักษาความปลอดภัยถูกทำให้หยุดทำงานแล้ว ผู้โจมตีจะเปลี่ยนเป้าหมายไปที่การขโมยข้อมูล Credentials การจัดการ Kernel และการติดตั้ง Ransomware

YDArk เข้าไปควบคุม Kernel-level callbacks เพื่อรักษาการซ่อนตัวอย่างต่อเนื่อง ในขณะที่ PowerRun เรียกใช้ ransomware payload ด้วยสิทธิ์ระดับ SYSTEM เต็มรูปแบบ

Mimikatz อ่านหน่วยความจำ LSASS เพื่อดึงข้อมูล Credentials ของผู้ดูแลระบบที่แคชไว้ ช่วยให้ผู้โจมตีทำให้สามารถโจมตีต่อไปภายในเครือข่ายได้

Unlock_IT ลบข้อมูลใน Registry และร่องรอยของการโจมตีเพื่อทำลายหลักฐาน ในขณะที่ AuKill ยุติ EDR Process ที่ยังหลงเหลืออยู่ทั้งหมด

เมื่อผ่านทั้งสองขั้นตอนนี้ สภาพแวดล้อมในระบบจะพร้อมสำหรับการเข้ารหัสไฟล์ขนาดใหญ่แบบเงียบ ๆ โดยไม่มีกลไกป้องกันใด ๆ เหลืออยู่

องค์กรควรบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) กับบัญชีผู้ใช้ที่มีสิทธิ์พิเศษทั้งหมด เปิดใช้งานการอนุญาตแอปพลิเคชัน เพื่อบล็อก Utilities ที่ไม่ได้รับอนุญาต และตรวจสอบคำสั่งยุติการทำงานที่น่าสงสัย เช่น sc stop, net stop และ taskkill อย่างสม่ำเสมอ

ทีมรักษาความปลอดภัยควรตรวจสอบการเปลี่ยนแปลงใน Registry ที่เกี่ยวข้องกับ antivirus และการตั้งค่าการเริ่มต้นระบบ จำกัดการเข้าถึงเครื่องมือการดูแลระบบระดับต่ำให้เฉพาะบุคลากรที่ได้รับการตรวจสอบแล้วเท่านั้น และฝึกอบรม SOC Analyst ให้สามารถรับรู้สัญญาณเริ่มต้นของการถูกทำให้ระบบป้องกันหยุดชะงัก

อุปกรณ์ที่ได้รับผลกระทบควรถูกแยกออกทันทีเพื่อป้องกันการแพร่กระจายไปยังส่วนอื่น ๆ และจำกัดผลกระทบกับองค์กร

ที่มา : cybersecuritynews

กลุ่ม LeakNet ransomware กำลังใช้เทคนิค ClickFix เพื่อข้าสู่ระบบเครือข่ายขององค์กร และใช้ loader มัลแวร์ที่พัฒนาขึ้นจาก Deno ซึ่งเป็น Open-source runtime สำหรับ JavaScript และ TypeScript โดยผู้โจมตีใช้ Deno ที่ถูกต้องในการถอดรหัส และเรียกใช้เพย์โหลดโดยตรงไปยัง memory ของระบบ เพื่อทำลายหลักฐานบนดิสก์ และหลีกเลี่ยงการตรวจจับ

(more…)

บริษัท Veeam Software ผู้ให้บริการด้านการปกป้องข้อมูล ออกแพตช์แก้ไขช่องโหว่หลายรายการในโซลูชัน Backup & Replication รวมถึงช่องโหว่ระดับ Critical ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ถึง 4 รายการ

VBR คือซอฟต์แวร์สำรอง และกู้คืนข้อมูลระดับองค์กร ที่ช่วยให้ผู้ดูแลระบบไอทีสร้างสำเนาข้อมูลที่มีความสำคัญเพื่อการกู้คืนระบบได้อย่างรวดเร็วหลังจากการถูกโจมตีทางไซเบอร์  และในกรณีที่อุปกรณ์ฮาร์ดแวร์ใช้งานไม่ได้

(more…)

บริษัท Advantest Corporation เปิดเผยว่า เครือข่ายของบริษัทถูกโจมตีด้วยแรนซัมแวร์ ซึ่งอาจส่งผลกระทบต่อข้อมูลลูกค้า หรือพนักงาน ผลการตรวจสอบเบื้องต้นพบว่าผู้โจมตีสามารถเข้าถึงบางส่วนของเครือข่ายของบริษัทได้เมื่อวันที่ 15 กุมภาพันธ์ที่ผ่านมา

บริษัท Advantest ซึ่งมีสำนักงานใหญ่ตั้งอยู่ในกรุงโตเกียว เป็นผู้นำระดับโลกด้านอุปกรณ์ทดสอบสำหรับเซมิคอนดักเตอร์ ผลิตภัณฑ์ดิจิทัล และอุปกรณ์สื่อสารไร้สาย มีพนักงานทั้งหมด 7,600 คน มีรายได้ต่อปีมากกว่า 5 พันล้านดอลลาร์สหรัฐ และมีมูลค่าหลักทรัพย์ตามราคาตลาดสูงถึง 120 พันล้านดอลลาร์สหรัฐ

เมื่อวันที่ 15 กุมภาพันธ์ บริษัทได้ตรวจพบพฤติกรรมที่ผิดปกติในระบบไอที ซึ่งนำไปสู่กระบวนการ incident response ซึ่งรวมถึงการตัดการเชื่อมต่อระบบที่ได้รับผลกระทบ

เพื่อเป็นการตอบสนองต่อสถานการณ์ดังกล่าว บริษัทได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอก เพื่อช่วยจำกัดขอบเขตของภัยคุกคาม และตรวจสอบผลกระทบที่เกิดขึ้น

Advantest ระบุว่า “ผลการตรวจสอบเบื้องต้นแสดงให้เห็นว่า บุคคลภายนอกที่ไม่ได้รับอนุญาตอาจเข้าถึงเครือข่ายบางส่วนของบริษัท และได้ติดตั้งแรนซัมแวร์”

“การตรวจสอบของเราพบว่า ข้อมูลของลูกค้า หรือพนักงานได้รับผลกระทบ เราจะแจ้งให้ผู้ที่ได้รับผลกระทบรับทราบ และให้คำแนะนำเกี่ยวกับมาตรการป้องกัน”

ในขณะนี้ยังไม่มีการยืนยันว่ามีการขโมยข้อมูล แต่ Advantest ระบุว่า สถานการณ์อาจเปลี่ยนแปลงได้เมื่อมีข้อมูลเพิ่มเติมจากการสืบสวนที่กำลังดำเนินอยู่

หากพบว่าลูกค้า หรือพนักงานได้รับผลกระทบ Advantest จะแจ้งให้ทราบโดยตรง และให้คำแนะนำในการลดความเสี่ยงที่เกี่ยวข้อง

เมื่อเร็ว ๆ นี้ บริษัทสัญชาติญี่ปุ่นหลายแห่งตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ โดยหลายบริษัทที่มีชื่อเสียงต้องประสบปัญหาการรั่วไหลของข้อมูล และการหยุดชะงักของการดำเนินงาน ตัวอย่างเช่น โรงแรมวอชิงตัน, นิสสัน, มูจิ, อาซาฮี และ NTT

Advantest ระบุว่า การสอบสวนยังคงดำเนินต่อไป และจะแจ้งความคืบหน้าเกี่ยวกับเหตุการณ์เมื่อมีรายละเอียดใหม่ ๆ เพิ่มเติม

ที่มา : bleepingcomputer

หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้แจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่ CVE-2026-1731 ที่ส่งผลกระทบต่อผลิตภัณฑ์ BeyondTrust Remote Support ในปฏิบัติการการโจมตีด้วย Ransomware อย่างต่อเนื่อง

CVE-2026-1731 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Remote Code Execution ที่ส่งผลกระทบต่อ BeyondTrust Remote Support เวอร์ชัน 25.3.1 หรือก่อนหน้า และ Privileged Remote Access เวอร์ชัน 24.3.4 หรือก่อนหน้า

CISA ได้เพิ่มช่องโหว่นี้ลงในรายการ Known Exploited Vulnerabilities (KEV) หรือช่องโหว่ที่กำลังถูกใช้ในการโจมตี เมื่อวันที่ 13 กุมภาพันธ์ 2026 และให้เวลาหน่วยงานของรัฐบาลกลางเพียงสามวันในการติดตั้งแพตช์ หรือหยุดใช้ผลิตภัณฑ์

BeyondTrust ได้เปิดเผยช่องโหว่ CVE-2026-1731 ครั้งแรกเมื่อวันที่ 6 กุมภาพันธ์ 2026 คำแนะนำด้านความปลอดภัยจัดประเภทช่องโหว่นี้ว่าเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ก่อนการยืนยันตัวตน ซึ่งเกิดจากช่องโหว่ OS command injection และสามารถโจมตีได้ผ่าน Client Request ที่สร้างขึ้นมาเป็นพิเศษไปยังระบบที่มีช่องโหว่

หลังจากนั้นไม่นานก็พบการสร้าง Proof-of-concept (PoC) สำหรับช่องโหว่ CVE-2026-1731 รวมถึงการโจมตีช่องโหว่ดังกล่าว

เมื่อวันที่ 13 กุมภาพันธ์ 2026 ทาง BeyondTrust ได้อัปเดตประกาศแจ้งเตือนว่า ตรวจพบการโจมตีเมื่อวันที่ 31 มกราคม 2026 ทำให้ CVE-2026-1731 กลายเป็นช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีมาแล้วอย่างน้อยหนึ่งสัปดาห์

BeyondTrust ระบุว่า รายงานจากนักวิจัย Harsh Jaiswal และทีม Hacktron AI ยืนยันกิจกรรมที่ผิดปกติที่พวกเขาตรวจพบในอุปกรณ์ Remote Support เพียงเครื่องเดียวในขณะนั้น

สำหรับลูกค้า Cloud-Based Application (SaaS) BeyondTrust ระบุว่า แพตช์ได้รับการติดตั้งโดยอัตโนมัติเมื่อวันที่ 2 กุมภาพันธ์ 2026 ดังนั้นจึงไม่จำเป็นต้องมีการดำเนินการด้วยตนเอง

ลูกค้าที่ใช้งาน Self-Hosted Instances จำเป็นต้องเปิดใช้งานการอัปเดตอัตโนมัติ และตรวจสอบว่าได้ติดตั้งแพตช์แล้วผ่านทางอินเทอร์เฟซ '/appliance' หรือติดตั้งด้วยตนเอง

สำหรับ Remote Support แนะนำให้ติดตั้งเวอร์ชัน 25.3.2 รวมถึงผู้ใช้บริการเข้าถึงจากระยะไกลที่มีสิทธิ์พิเศษควรเปลี่ยนไปใช้เวอร์ชัน 25.1.1 หรือใหม่กว่า

สำหรับผู้ที่ยังคงใช้ RS เวอร์ชัน 21.3 และ PRA เวอร์ชัน 22.1 แนะนำให้อัปเกรดเป็นเวอร์ชันที่ใหม่กว่าก่อนติดตั้งแพตช์

ที่มา : bleepingcomputer