ChipSoft ผู้จำหน่ายซอฟต์แวร์ด้านสุขภาพจากประเทศเนเธอร์แลนด์ ได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ ซึ่งบีบให้บริษัทต้องปิดเว็บไซต์ และบริการดิจิทัลสำหรับผู้ป่วย และผู้ให้บริการทางการแพทย์ชั่วคราว (more…)

การโจมตีด้วย Ransomware ก้าวล้ำไปไกลกว่าเพียงแค่การใช้โค้ดที่เป็นอันตรายแบบธรรมดา ปัจจุบันผู้โจมตีดำเนินการด้วยความแม่นยำราวกับธุรกิจที่มีการวางแผนมาอย่างดี โดยการใช้เครื่องมือที่น่าเชื่อถือของ Windows เข้ามาทำลายระบบป้องกันอย่างเงียบ ๆ ก่อนที่ Ransomware จะเริ่มเข้ามามีบทบาท

การเปลี่ยนแปลงในครั้งนี้ ทำให้การโจมตีด้วย Ransomware สมัยใหม่ตรวจจับได้ยากขึ้น และสร้างความเสียหายได้รุนแรงกว่าเดิมเป็นอย่างมาก

เครื่องมือที่เป็นหัวใจสำคัญของภัยคุกคามนี้ไม่ได้ถูกออกแบบมาเพื่อการก่ออาชญากรรม แต่เป็น Utilities เช่น Process Hacker, IOBit Unlocker, PowerRun และ AuKill ซึ่งเดิมทีถูกสร้างขึ้นมาเพื่อให้ทีม IT ใช้จัดการกระบวนการปลดล็อกไฟล์ และแก้ไขปัญหาของระบบในเวลาปกติ

ผู้โจมตีได้นำเครื่องมือเหล่านี้มาดัดแปลงวัตถุประสงค์เพื่อปิดการทำงานของโปรแกรม Antivirus และซอฟต์แวร์ Endpoint Detection and Response (EDR) อย่างเงียบ ๆ ก่อนที่จะเรียกใช้งาน Ransomware

เนื่องจากเครื่องมือเหล่านี้มี digital signed และมีการใช้งานแพร่หลายในสภาพแวดล้อมระดับองค์กร ระบบรักษาความปลอดภัยส่วนใหญ่จึงถือว่าเป็นการจัดการตามปกติ ซึ่งทิ้งร่องรอยไว้น้อยมาก

นักวิจัยจาก Seqrite ได้ระบุถึงรูปแบบที่กำลังเติบโตนี้ และตั้งข้อสังเกตว่าการใช้เครื่องมือ Low-level ที่ถูกต้องในทางที่ผิด ซึ่งได้กลายเป็นเอกลักษณ์สำคัญของการโจมตีด้วย Ransomware ในปัจจุบัน ตั้งแต่ LockBit 3.0 และ BlackCat ไปจนถึง Dharma, Phobos และ MedusaLocker

งานวิจัยแสดงให้เห็นว่า กลุ่มผู้โจมตีเหล่านี้ไม่ได้พึ่งพาเพียงแค่มัลแวร์ที่เขียนขึ้นมาเองเท่านั้น แต่พวกเขายังทำการศึกษาเป้าหมายอย่างละเอียด ระบุจุดอ่อนด้านความปลอดภัย และใช้เครื่องมือที่สร้างขึ้นเพื่อรักษาความปลอดภัยของระบบเป็นอาวุธ

การปิดการทำงานของ antivirus ไม่ใช่ขั้นตอนรอง แต่เป็นส่วนสำคัญที่ถูกวางแผนมาอย่างจงใจ เพราะเมื่อซอฟต์แวร์รักษาความปลอดภัยยังทำงานอยู่ มันจะสามารถบล็อกไฟล์อันตรายขณะรันโปรแกรม ตรวจจับพฤติกรรมการเข้ารหัสข้อมูลที่ผิดปกติ และแจ้งเตือนทีมรักษาความปลอดภัยได้แบบเรียลไทม์

โดยการปิดระบบป้องกันเหล่านี้ก่อน ผู้โจมตีจะสร้างช่องทางเงียบ ๆ ที่ Ransomware สามารถทำงานได้อย่างอิสระ และไม่ถูกขัดจังหวะ

กลยุทธ์นี้มีการพัฒนาอย่างก้าวกระโดดในช่วงหลายปีที่ผ่านมา จาก Command-line scripts พื้นฐาน ที่ใช้ในภัยคุกคามยุคแรก ๆ เช่น CryptoLocker และ WannaCry ไปสู่การจัดการ Driver ระดับ Kernel ที่พบในแคมเปญ Conti และ LockBit 2.0 และในปัจจุบันคือ Antivirus killer modules แบบสำเร็จรูปที่ฝังอยู่ใน Ransomware-as-a-Service (RaaS) โดยตรง

ขอบเขตของภัยคุกคามนี้ครอบคลุมองค์กรทุกขนาด ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรขนาดใหญ่ โดยเส้นทางการโจมตีมักจะเป็นไปตามลำดับขั้นตอนที่จงใจใช้เครื่องมือที่น่าเชื่อถือในทุกระดับเพื่อหลบเลี่ยงการตรวจจับ

การใช้ประโยชน์จากเครื่องมือ Windows แบบ 2 ขั้นตอน

เมื่อผู้โจมตีสามารถเจาะเข้าสู่ระบบได้แล้ว พวกเขาจะดำเนินกระบวนการ 2 ขั้นตอน เพื่อจัดการกับระบบความปลอดภัยอย่างเป็นระบบก่อนที่ Ransomware จะเริ่มทำงาน

ในขั้นตอนแรกนี้ เป้าหมายคือการทำให้ Antivirus ใช้งานไม่ได้ และการยกระดับสิทธิ์เครื่องมืออย่าง IOBit Unlocker เพื่อลบไฟล์ Binaries ของ Antivirus โดยใช้ API NtUnlockFile ในขณะที่ TDSSKiller เดิมเป็นเครื่องมือลบ Rootkit แต่ถูกนำมาใช้ในการ Unload Driver ของ Antivirus ออกจาก Kernel เพื่อไม่ให้ระบบป้องกันโหลดกลับมาใหม่ได้

Process Hacker จะยุติ Process ของ Antivirus โดยใช้ช่องโหว่ SeDebugPrivilege และ Atool_ExperModel เพื่อลบค่า Registry ที่ใช้ในการเริ่มระบบของ Antivirus รวมถึงลบ Scheduled Tasks เพื่อตัดวงจรการกู้คืนระบบป้องกัน

ขั้นตอนที่สองเป็นขั้นตอนที่การโจมตีมีความอันตรายที่สุด เมื่อซอฟต์แวร์รักษาความปลอดภัยถูกทำให้หยุดทำงานแล้ว ผู้โจมตีจะเปลี่ยนเป้าหมายไปที่การขโมยข้อมูล Credentials การจัดการ Kernel และการติดตั้ง Ransomware

YDArk เข้าไปควบคุม Kernel-level callbacks เพื่อรักษาการซ่อนตัวอย่างต่อเนื่อง ในขณะที่ PowerRun เรียกใช้ ransomware payload ด้วยสิทธิ์ระดับ SYSTEM เต็มรูปแบบ

Mimikatz อ่านหน่วยความจำ LSASS เพื่อดึงข้อมูล Credentials ของผู้ดูแลระบบที่แคชไว้ ช่วยให้ผู้โจมตีทำให้สามารถโจมตีต่อไปภายในเครือข่ายได้

Unlock_IT ลบข้อมูลใน Registry และร่องรอยของการโจมตีเพื่อทำลายหลักฐาน ในขณะที่ AuKill ยุติ EDR Process ที่ยังหลงเหลืออยู่ทั้งหมด

เมื่อผ่านทั้งสองขั้นตอนนี้ สภาพแวดล้อมในระบบจะพร้อมสำหรับการเข้ารหัสไฟล์ขนาดใหญ่แบบเงียบ ๆ โดยไม่มีกลไกป้องกันใด ๆ เหลืออยู่

องค์กรควรบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) กับบัญชีผู้ใช้ที่มีสิทธิ์พิเศษทั้งหมด เปิดใช้งานการอนุญาตแอปพลิเคชัน เพื่อบล็อก Utilities ที่ไม่ได้รับอนุญาต และตรวจสอบคำสั่งยุติการทำงานที่น่าสงสัย เช่น sc stop, net stop และ taskkill อย่างสม่ำเสมอ

ทีมรักษาความปลอดภัยควรตรวจสอบการเปลี่ยนแปลงใน Registry ที่เกี่ยวข้องกับ antivirus และการตั้งค่าการเริ่มต้นระบบ จำกัดการเข้าถึงเครื่องมือการดูแลระบบระดับต่ำให้เฉพาะบุคลากรที่ได้รับการตรวจสอบแล้วเท่านั้น และฝึกอบรม SOC Analyst ให้สามารถรับรู้สัญญาณเริ่มต้นของการถูกทำให้ระบบป้องกันหยุดชะงัก

อุปกรณ์ที่ได้รับผลกระทบควรถูกแยกออกทันทีเพื่อป้องกันการแพร่กระจายไปยังส่วนอื่น ๆ และจำกัดผลกระทบกับองค์กร

ที่มา : cybersecuritynews

กลุ่ม LeakNet ransomware กำลังใช้เทคนิค ClickFix เพื่อข้าสู่ระบบเครือข่ายขององค์กร และใช้ loader มัลแวร์ที่พัฒนาขึ้นจาก Deno ซึ่งเป็น Open-source runtime สำหรับ JavaScript และ TypeScript โดยผู้โจมตีใช้ Deno ที่ถูกต้องในการถอดรหัส และเรียกใช้เพย์โหลดโดยตรงไปยัง memory ของระบบ เพื่อทำลายหลักฐานบนดิสก์ และหลีกเลี่ยงการตรวจจับ

(more…)

บริษัท Veeam Software ผู้ให้บริการด้านการปกป้องข้อมูล ออกแพตช์แก้ไขช่องโหว่หลายรายการในโซลูชัน Backup & Replication รวมถึงช่องโหว่ระดับ Critical ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ถึง 4 รายการ

VBR คือซอฟต์แวร์สำรอง และกู้คืนข้อมูลระดับองค์กร ที่ช่วยให้ผู้ดูแลระบบไอทีสร้างสำเนาข้อมูลที่มีความสำคัญเพื่อการกู้คืนระบบได้อย่างรวดเร็วหลังจากการถูกโจมตีทางไซเบอร์  และในกรณีที่อุปกรณ์ฮาร์ดแวร์ใช้งานไม่ได้

(more…)

บริษัท Advantest Corporation เปิดเผยว่า เครือข่ายของบริษัทถูกโจมตีด้วยแรนซัมแวร์ ซึ่งอาจส่งผลกระทบต่อข้อมูลลูกค้า หรือพนักงาน ผลการตรวจสอบเบื้องต้นพบว่าผู้โจมตีสามารถเข้าถึงบางส่วนของเครือข่ายของบริษัทได้เมื่อวันที่ 15 กุมภาพันธ์ที่ผ่านมา

บริษัท Advantest ซึ่งมีสำนักงานใหญ่ตั้งอยู่ในกรุงโตเกียว เป็นผู้นำระดับโลกด้านอุปกรณ์ทดสอบสำหรับเซมิคอนดักเตอร์ ผลิตภัณฑ์ดิจิทัล และอุปกรณ์สื่อสารไร้สาย มีพนักงานทั้งหมด 7,600 คน มีรายได้ต่อปีมากกว่า 5 พันล้านดอลลาร์สหรัฐ และมีมูลค่าหลักทรัพย์ตามราคาตลาดสูงถึง 120 พันล้านดอลลาร์สหรัฐ

เมื่อวันที่ 15 กุมภาพันธ์ บริษัทได้ตรวจพบพฤติกรรมที่ผิดปกติในระบบไอที ซึ่งนำไปสู่กระบวนการ incident response ซึ่งรวมถึงการตัดการเชื่อมต่อระบบที่ได้รับผลกระทบ

เพื่อเป็นการตอบสนองต่อสถานการณ์ดังกล่าว บริษัทได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอก เพื่อช่วยจำกัดขอบเขตของภัยคุกคาม และตรวจสอบผลกระทบที่เกิดขึ้น

Advantest ระบุว่า “ผลการตรวจสอบเบื้องต้นแสดงให้เห็นว่า บุคคลภายนอกที่ไม่ได้รับอนุญาตอาจเข้าถึงเครือข่ายบางส่วนของบริษัท และได้ติดตั้งแรนซัมแวร์”

“การตรวจสอบของเราพบว่า ข้อมูลของลูกค้า หรือพนักงานได้รับผลกระทบ เราจะแจ้งให้ผู้ที่ได้รับผลกระทบรับทราบ และให้คำแนะนำเกี่ยวกับมาตรการป้องกัน”

ในขณะนี้ยังไม่มีการยืนยันว่ามีการขโมยข้อมูล แต่ Advantest ระบุว่า สถานการณ์อาจเปลี่ยนแปลงได้เมื่อมีข้อมูลเพิ่มเติมจากการสืบสวนที่กำลังดำเนินอยู่

หากพบว่าลูกค้า หรือพนักงานได้รับผลกระทบ Advantest จะแจ้งให้ทราบโดยตรง และให้คำแนะนำในการลดความเสี่ยงที่เกี่ยวข้อง

เมื่อเร็ว ๆ นี้ บริษัทสัญชาติญี่ปุ่นหลายแห่งตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ โดยหลายบริษัทที่มีชื่อเสียงต้องประสบปัญหาการรั่วไหลของข้อมูล และการหยุดชะงักของการดำเนินงาน ตัวอย่างเช่น โรงแรมวอชิงตัน, นิสสัน, มูจิ, อาซาฮี และ NTT

Advantest ระบุว่า การสอบสวนยังคงดำเนินต่อไป และจะแจ้งความคืบหน้าเกี่ยวกับเหตุการณ์เมื่อมีรายละเอียดใหม่ ๆ เพิ่มเติม

ที่มา : bleepingcomputer

หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้แจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่ CVE-2026-1731 ที่ส่งผลกระทบต่อผลิตภัณฑ์ BeyondTrust Remote Support ในปฏิบัติการการโจมตีด้วย Ransomware อย่างต่อเนื่อง

CVE-2026-1731 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Remote Code Execution ที่ส่งผลกระทบต่อ BeyondTrust Remote Support เวอร์ชัน 25.3.1 หรือก่อนหน้า และ Privileged Remote Access เวอร์ชัน 24.3.4 หรือก่อนหน้า

CISA ได้เพิ่มช่องโหว่นี้ลงในรายการ Known Exploited Vulnerabilities (KEV) หรือช่องโหว่ที่กำลังถูกใช้ในการโจมตี เมื่อวันที่ 13 กุมภาพันธ์ 2026 และให้เวลาหน่วยงานของรัฐบาลกลางเพียงสามวันในการติดตั้งแพตช์ หรือหยุดใช้ผลิตภัณฑ์

BeyondTrust ได้เปิดเผยช่องโหว่ CVE-2026-1731 ครั้งแรกเมื่อวันที่ 6 กุมภาพันธ์ 2026 คำแนะนำด้านความปลอดภัยจัดประเภทช่องโหว่นี้ว่าเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ก่อนการยืนยันตัวตน ซึ่งเกิดจากช่องโหว่ OS command injection และสามารถโจมตีได้ผ่าน Client Request ที่สร้างขึ้นมาเป็นพิเศษไปยังระบบที่มีช่องโหว่

หลังจากนั้นไม่นานก็พบการสร้าง Proof-of-concept (PoC) สำหรับช่องโหว่ CVE-2026-1731 รวมถึงการโจมตีช่องโหว่ดังกล่าว

เมื่อวันที่ 13 กุมภาพันธ์ 2026 ทาง BeyondTrust ได้อัปเดตประกาศแจ้งเตือนว่า ตรวจพบการโจมตีเมื่อวันที่ 31 มกราคม 2026 ทำให้ CVE-2026-1731 กลายเป็นช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีมาแล้วอย่างน้อยหนึ่งสัปดาห์

BeyondTrust ระบุว่า รายงานจากนักวิจัย Harsh Jaiswal และทีม Hacktron AI ยืนยันกิจกรรมที่ผิดปกติที่พวกเขาตรวจพบในอุปกรณ์ Remote Support เพียงเครื่องเดียวในขณะนั้น

สำหรับลูกค้า Cloud-Based Application (SaaS) BeyondTrust ระบุว่า แพตช์ได้รับการติดตั้งโดยอัตโนมัติเมื่อวันที่ 2 กุมภาพันธ์ 2026 ดังนั้นจึงไม่จำเป็นต้องมีการดำเนินการด้วยตนเอง

ลูกค้าที่ใช้งาน Self-Hosted Instances จำเป็นต้องเปิดใช้งานการอัปเดตอัตโนมัติ และตรวจสอบว่าได้ติดตั้งแพตช์แล้วผ่านทางอินเทอร์เฟซ '/appliance' หรือติดตั้งด้วยตนเอง

สำหรับ Remote Support แนะนำให้ติดตั้งเวอร์ชัน 25.3.2 รวมถึงผู้ใช้บริการเข้าถึงจากระยะไกลที่มีสิทธิ์พิเศษควรเปลี่ยนไปใช้เวอร์ชัน 25.1.1 หรือใหม่กว่า

สำหรับผู้ที่ยังคงใช้ RS เวอร์ชัน 21.3 และ PRA เวอร์ชัน 22.1 แนะนำให้อัปเกรดเป็นเวอร์ชันที่ใหม่กว่าก่อนติดตั้งแพตช์

ที่มา : bleepingcomputer

ผู้ให้บริการ Payment Gateway และโซลูชันการชำระเงินรายใหญ่ของสหรัฐฯ เปิดเผยว่า การโจมตีด้วย Ransomware ส่งผลให้ระบบสำคัญหลายส่วนต้องหยุดทำงาน และก่อให้เกิดเหตุระบบล่มเป็นวงกว้าง ซึ่งส่งผลกระทบต่อหลายบริการ

เหตุการณ์เริ่มต้นขึ้นเมื่อวันศุกร์ที่ผ่านมา และได้ลุกลามอย่างรวดเร็วจนส่งผลให้เกิดการหยุดชะงักทั่วประเทศบนแพลตฟอร์มของ BridgePay

(more…)

พบ Hacker มุ่งเป้าไปที่ MongoDB instance ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ต ด้วยการโจมตีจาก Ransomware แบบอัตโนมัติ โดยเรียกร้องค่าไถ่จำนวนเล็กน้อยจากเจ้าของเพื่อกู้คืนข้อมูล

Hacker มุ่งเน้นไปที่เป้าหมายที่เข้าถึงได้ง่าย นั่นคือฐานข้อมูลที่ตั้งค่าที่ไม่ถูกต้อง ซึ่งอนุญาตให้เข้าถึงได้โดยไม่มีข้อจำกัด เซิร์ฟเวอร์ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ตประมาณ 1,400 เครื่องถูกโจมตี พร้อมข้อความเรียกค่าไถ่ที่เรียกร้องค่าไถ่ประมาณ 500 ดอลลาร์สหรัฐในสกุลเงิน Bitcoin

พบว่าตั้นแต่ปี 2021 มีการโจมตีเกิดขึ้นมากมาย มีการลบฐานข้อมูลหลายพันรายการ และเรียกค่าไถ่เพื่อกู้คืนข้อมูล โดยบางครั้ง Hacker ก็ลบฐานข้อมูลโดยไม่เรียกร้องเงิน

การทดสอบเจาะระบบจากนักวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ Flare เปิดเผยว่าการโจมตีเหล่านี้ยังคงมีอยู่ เพียงแต่พบการโจมตีในขนาดที่เล็กลง

นักวิจัยค้นพบ MongoDB instance ที่เปิดเผยสู่สาธารณะมากกว่า 208,500 เครื่อง ซึ่งในจำนวนนั้น 100,000 เครื่อง เปิดเผยข้อมูลการดำเนินงาน และ 3,100 เครื่อง สามารถเข้าถึงได้โดยไม่ต้องมีการยืนยันตัวตน

ทั้งนี้เกือบครึ่งหนึ่ง (45.6%) ของเครื่อง MongoDB instance ที่เข้าถึงได้โดยไม่มีข้อจำกัดนั้นถูกโจมตีไปแล้ว เมื่อ Flare ทำการตรวจสอบ พบว่าฐานข้อมูลถูกลบไปหมดแล้ว และมีการทิ้งข้อความเรียกค่าไถ่ไว้ให้ชำระเงิน 0.005 BTC ภายใน 48 ชั่วโมง

รายงานของ Flare ระบุว่า Hacker เรียกร้องให้ชำระเงินเป็น Bitcoin (มักจะประมาณ 0.005 BTC ซึ่งเทียบเท่ากับ 500-600 ดอลลาร์สหรัฐในปัจจุบัน) ไปยังที่อยู่กระเป๋า Bitcoin ที่ระบุไว้ โดยสัญญาว่าจะกู้คืนข้อมูลให้ แต่ไม่มีหลักประกันว่า Hacker จะมีข้อมูล หรือจะให้รหัสถอดรหัสที่ใช้งานได้จริงหากได้รับเงิน

รวมถึงพบว่ามีที่อยู่กระเป๋า Bitcoin ที่แตกต่างกันเพียงห้าแห่ง ในข้อความเรียกค่าไถ่ที่ถูกทิ้งไว้ และหนึ่งในนั้นพบได้บ่อยในประมาณ 98% ของการโจมตี ซึ่งแสดงให้เห็นว่ามี Hacker เพียงรายเดียวที่มุ่งเป้าไปที่การโจมตีเหล่านี้

Flare ยังแสดงความคิดเห็นเกี่ยวกับ MongoDB instance ที่เหลืออยู่ซึ่งดูเหมือนจะไม่ได้รับผลกระทบ แม้ว่า MongoDB instance เหล่านั้นจะเข้าถึงได้จากอินเตอร์เน็ต และมีการรักษาความปลอดภัยที่ไม่ดี โดยตั้งสมมติฐานว่าเป้าหมายอาจจ่ายค่าไถ่ให้กับ Hacker ไปแล้ว

นอกเหนือจากมาตรการการยืนยันตัวตนที่ไม่ดีแล้ว นักวิจัยยังพบว่าเกือบครึ่งหนึ่ง (95,000) ของ MongoDB instance ที่เข้าถึงได้จากอินเตอร์เน็ตทั้งหมด ใช้เวอร์ชันเก่าที่มีช่องโหว่ n-day อย่างไรก็ตาม ศักยภาพของช่องโหว่ส่วนใหญ่จำกัดอยู่เพียงการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service) ไม่ใช่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)

Flare แนะนำว่า ผู้ดูแลระบบ MongoDB ควรหลีกเลี่ยงการเปิดเผยอินสแตนซ์ต่อสาธารณะเว้นแต่จำเป็น ใช้วิธีการยืนยันตัวตนที่เข้มงวด ตั้งค่า Firewall Rules และ Kubernetes Network Policy ที่อนุญาตเฉพาะการเชื่อมต่อที่เชื่อถือได้ และหลีกเลี่ยงการคัดลอก configurations จากคู่มือการใช้งาน

รวมถึงควรมีการอัปเดต MongoDB ให้เป็นเวอร์ชันล่าสุด และตรวจสอบการเปิดให้เข้าถึงจากอินเตอร์เน็ตอย่างต่อเนื่อง ในกรณีที่มีการเปิดให้เข้าถึงจากอินเตอร์เน็ต ข้อมูล credentials จะต้องได้รับการ rotated และตรวจสอบ Log เพื่อหาพฤติกรรมที่น่าสงสัย

ที่มา : bleepingcomputer

กลุ่มผู้โจมตีด้วย ransomware ได้พุ่งเป้าไปที่บริษัทการเงินยักษ์ใหญ่ระดับ Fortune 100 โดยใช้มัลแวร์สายพันธุ์ใหม่ที่ชื่อว่า "PDFSider" ในการส่ง payload ที่เป็นอันตรายเข้าสู่ระบบปฏิบัติการ Windows

การโจมตีครั้งนี้ คนร้ายใช้วิธีการแบบ Social Engineering เพื่อให้ได้สิทธิ์การเข้าถึงระบบจากระยะไกล โดยการแอบอ้างว่าเป็นเจ้าหน้าที่ฝ่ายสนับสนุนทางเทคนิค และหลอกให้พนักงานบริษัทติดตั้งเครื่องมือ Microsoft Quick Assist

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Resecurity ได้ตรวจพบ PDFSider ในระหว่างการเข้าจัดการเหตุภัยคุกคาม และระบุว่ามัลแวร์ตัวนี้เป็น Backdoor ที่ซ่อนตัวได้อย่างแนบเนียนเพื่อการแฝงตัวในระบบแบบระยะยาว อีกทั้งยังมีลักษณะเฉพาะที่มักพบในเทคนิคการโจมตีขั้นสูงแบบ APT

เป็นไฟล์ .EXE ก็จริง แต่ภายในแฝงไปด้วยไฟล์ .DLL ที่อันตราย

โฆษกของ Resecurity เปิดเผยกับ BleepingComputer โดยระบุว่า พบเห็นการใช้ PDFSider ในปฏิบัติการโจมตีของกลุ่ม Qilin ransomware อย่างไรก็ตาม ทีม Threat Hunting ของบริษัทระบุว่า backdoor ตัวนี้ถูกนำไปใช้งานจริงอย่างแพร่หลายโดยกลุ่ม ransomware หลายกลุ่มเพื่อใช้เป็นช่องทางในการปล่อยมัลแวร์เข้าสู่ระบบ

PDFSider backdoor จะถูกส่งผ่านอีเมล spearphishing ที่แนบไฟล์ ZIP ซึ่งภายในมีไฟล์โปรแกรมที่ถูกต้องที่มี digitally signed ของเครื่องมือ PDF24 Creator จากบริษัท Miron Geek Software GmbH อย่างไรก็ตาม ในแพ็กเกจดังกล่าวกลับมีไฟล์ DLL เวอร์ชันอันตราย (cryptbase.

Veeam ได้ออกแพตซ์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยหลายรายการในซอฟต์แวร์ Backup & Replication รวมไปถึงช่องโหว่ Critical ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล

ช่องโหว่ RCE นี้มีหมายเลข CVE-2025-59470 ซึ่งส่งผลกระทบต่อ Veeam Backup & Replication เวอร์ชัน 13.0.1.180 และก่อนหน้าเวอร์ชัน 13 ทั้งหมด (more…)