Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ zero-day บน Chrome ซึ่งนับเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีเป็นครั้งที่หกตั้งแต่ต้นปีนี้ (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบแคมเปญมัลแวร์ซึ่งใช้ไฟล์ SVG (Scalable Vector Graphics) และไฟล์แนบอีเมลเป็นช่องทางในการแพร่กระจาย Remote Access Trojan (RAT) โดยเฉพาะ XWorm และ Remcos RAT (more…)

แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ที่ชื่อ “VoidProxy” กำลังมุ่งเป้าการโจมตีไปที่ผู้ใช้บัญชี Microsoft 365 และ Google รวมถึงบัญชีที่ได้รับการป้องกันแบบ Single Sign-On (SSO) จากผู้ให้บริการภายนอกอย่าง Okta

แพลตฟอร์มดังกล่าวใช้วิธีการโจมตีแบบ Adversary-in-the-Middle (AitM) เพื่อขโมยข้อมูล Credentials, Multi-factor authentication (MFA) และ Session Cookies ของเหยื่อ โดยสามารถขโมยได้แบบ real time

VoidProxy ถูกพบโดยนักวิจัยจาก Okta Threat Intelligence ซึ่งระบุว่า แพลตฟอร์มดังกล่าวมีความสามารถในการ Scalable, หลบเลี่ยงการตรวจจับได้ดี และมีความซับซ้อนสูง

การโจมตีจะเริ่มต้นจากอีเมลที่ส่งมาจากบัญชีที่ถูกแฮ็กบนแพลตฟอร์มของผู้ให้บริการส่งอีเมล เช่น Constant Contact, Active Campaign และ NotifyVisitors โดยอีเมลเหล่านี้จะมี Shortened Links ที่จะส่งผู้รับไปยังเว็บไซต์ phishing หลังจากถูกเปลี่ยนเส้นทางหลายครั้ง

เว็บไซต์อันตรายเหล่านี้จะ Host จะอยู่บนโดเมนราคาถูก เช่น .icu, .sbs, .cfd, .xyz, .top และ .home โดยใช้ Cloudflare เพื่อซ่อน IP Address ที่แท้จริงของเซิร์ฟเวอร์ไว้

เมื่อผู้ใช้เข้าสู่เว็บไซต์ จะพบกับ CAPTCHA ของ Cloudflare เพื่อกรองบอทออกไป และช่วยเพิ่มความน่าเชื่อถือ ในขณะเดียวกัน ก็ใช้สภาพแวดล้อมของ Cloudflare Workers เพื่อ filter traffic และโหลดหน้าเว็บต่าง ๆ ที่ใช้ในการโจมตี

โดยเป้าหมายที่ถูกเลือกจะเจอหน้าเว็บที่เลียนแบบหน้าการล็อกอินของ Microsoft หรือ Google ส่วนผู้ใช้งานรายอื่น ๆ จะถูกส่งไปยังหน้าเว็บทั่วไปที่ขึ้นข้อความว่า “Welcome” ซึ่งไม่มีอันตรายใด ๆ

หากมีการกรอกข้อมูล Credentials ลงใน Phishing form, Requests จะถูกส่งผ่าน Proxy ด้วยเทคนิคการโจมตีแบบ AitM ของ VoidProxy ไปยังเซิร์ฟเวอร์ของ Google หรือ Microsoft โดยตรง

สำหรับบัญชีแบบ Federated ที่ใช้ Okta ในการ SSO จะถูกเปลี่ยนเส้นทางไปยังหน้าถัดไปของเว็บ Phishing ซึ่งจะทำเลียนแบบเป็นหน้าขั้นตอน SSO ของ Microsoft 365 หรือ Google ที่ทำงานร่วมกับ Okta โดย Requests เหล่านี้จะถูกส่งผ่าน Proxy ไปยังเซิร์ฟเวอร์ของ Okta

Proxy Server ของบริการนี้จะทำหน้าที่รับ-ส่ง traffic ระหว่างเหยื่อกับ Microsoft หรือ Google ขณะเดียวกันก็จะดักจับข้อมูลชื่อผู้ใช้, รหัสผ่าน, และรหัส MFA ในระหว่างการส่งข้อมูล

เมื่อ Microsoft หรือ Google ออก Session Cookie เพื่อยืนยันการเข้าระบบ, VoidProxy จะดักจับคุกกี้นั้นไว้ และสร้าง Copy ขึ้นมา จากนั้นจะถูกส่งไปให้ผู้โจมตี ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงผ่าน Admin Panel ของแพลตฟอร์มได้

Okta ระบุว่า ผู้ใช้งานที่ลงทะเบียนใช้การยืนยันตัวตนแบบ Phishing-resistant เช่น Okta FastPass จะได้รับการป้องกันจากขั้นตอนการโจมตีของ VoidProxy และจะได้รับการแจ้งเตือนว่าบัญชีของพวกเขากำลังถูกโจมตี

นักวิจัยได้ให้คำแนะนำเพื่อป้องกันการโจมตีในลักษณะนี้ ได้แก่ :

จำกัดการเข้าถึงแอปพลิเคชันที่สำคัญให้ใช้ได้เฉพาะ Managed Devices เท่านั้น
บังคับใช้นโยบาย Risk-based Access Controls
ใช้ IP Session Binding สำหรับ administrative apps
บังคับให้มีการ Re-authentication เมื่อผู้ดูแลระบบพยายามดำเนินการในส่วนที่มีความสำคัญ

ที่มา : bleepingcomputer

ตรวจพบ Ransomware สายพันธุ์ใหม่ชื่อ HybridPetya ซึ่งสามารถ Bypass การทำงานของ UEFI Secure Boot เพื่อทำการติดตั้งแอปพลิเคชันอันตรายลงใน EFI System Partition ได้

HybridPetya ดูเหมือนจะได้รับแรงบันดาลใจจากมัลแวร์ Petya/NotPetya ซึ่งเคยเข้ารหัสคอมพิวเตอร์ และทำให้ Boot Windows ไม่ได้ในการโจมตีเมื่อปี 2016 และ 2017 โดยไม่มีวิธีกู้คืนข้อมูล

นักวิจัยจากบริษัท ESET พบตัวอย่างของ HybridPetya บน VirusTotal โดยระบุว่า มัลแวร์นี้อาจเป็นโครงการวิจัย, Proof-of-Concept (PoC) หรือเป็นเวอร์ชันเริ่มต้นของเครื่องมือของกลุ่มอาชญากรรมไซเบอร์ ที่ยังอยู่ในระยะทดลอง

อย่างไรก็ตาม ESET ระบุว่า การพบ HybridPetya ครั้งนี้ เป็นอีกหนึ่งตัวอย่าง (เช่นเดียวกับ BlackLotus, BootKitty และ Hyper-V Backdoor) ที่แสดงให้เห็นว่า UEFI bootkit ซึ่งมีความสามารถ Bypass การป้องกัน Secure Boot นั้นเป็นภัยคุกคามที่เกิดขึ้นจริง

HybridPetya ผสานลักษณะเด่นของ Petya และ NotPetya เข้าด้วยกัน ทั้งในด้านลักษณะการแสดงผล และขั้นตอนการโจมตีของมัลแวร์รุ่นเก่าเหล่านั้น

อย่างไรก็ตาม ผู้พัฒนา Ransomware HybridPetya ได้เพิ่มความสามารถใหม่ เช่น การติดตั้งลงใน EFI System Partition และความสามารถในการ Bypass การป้องกัน Secure Boot โดยอาศัยช่องโหว่ CVE-2024-7344

ESET ค้นพบช่องโหว่นี้เมื่อเดือนมกราคมปีนี้ โดยปัญหานี้เกิดจาก แอปพลิเคชันที่มีการ signed โดย Microsoft ซึ่งอาจถูกผู้โจมตีใช้เพื่อติดตั้ง Bootkit ได้ แม้ว่า Secure Boot ของเครื่องเป้าหมายจะยังทำงานอยู่

เมื่อเริ่มทำงาน HybridPetya จะตรวจสอบว่าคอมพิวเตอร์เป้าหมายใช้ UEFI แบบ GPT partitioning หรือไม่ จากนั้นจะปล่อย Bootkit อันตรายลงใน EFI System Partition ซึ่งประกอบด้วยไฟล์หลายไฟล์

ซึ่งไฟล์เหล่านี้ประกอบด้วย ไฟล์ configuration และ validation, modified bootloader, fallback UEFI Bootloader, exploit payload container และ status file สำหรับติดตามความคืบหน้าของการ encryption

ESET ระบุไฟล์ที่พบในหลายเวอร์ชันของ HybridPetya ดังนี้

\EFI\Microsoft\Boot\config – เก็บข้อมูล encryption flag, key, nonce และ victim ID
\EFI\Microsoft\Boot\verify – ใช้สำหรับตรวจสอบ decryption key ว่าถูกต้องหรือไม่
\EFI\Microsoft\Boot\counter – ใช้ติดตามความคืบหน้าของการ encrypted clusters
\EFI\Microsoft\Boot\bootmgfw.

Samsung ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับ Android ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกระบุว่ามีการนำไปใช้ในการโจมตีแบบ Zero-Day แล้ว

ช่องโหว่ CVE-2025-21043 (CVSS Score : 8.8) เป็นช่องโหว่ out-of-bounds write ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดตามต้องการได้

Samsung ระบุใน advisory ว่า “Out-of-bounds Write ใน libimagecodec.

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนเกี่ยวกับแฮ็กเกอร์ที่กำลังใช้ประโยชน์จากช่องโหว่ Remote Code Execution ระดับ Critical ใน DELMIA Apriso ซึ่งเป็นโซลูชันการจัดการ และดำเนินการด้านการผลิต (MOM) และ MES จาก Dassault Systèmes ของฝรั่งเศส

โดย CISA ได้เพิ่มช่องโหว่นี้ ซึ่งมีหมายเลข CVE-2025-5086 และถูกจัดระดับความรุนแรงเป็นระดับ Critical (CVSS v3: 9.0) เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) แล้ว

(more…)

Microsoft ระบุว่าได้บรรเทาปัญหาการหยุดให้บริการของ Exchange Online ที่ส่งผลกระทบต่อผู้ใช้งานทั่วโลก ซึ่งทำให้ผู้ใช้ไม่สามารถเข้าถึงอีเมล และปฏิทินได้

(more…)

Microsoft ออก Patch Tuesday ประจำเดือนกันยายน 2025 โดยแก้ไขช่องโหว่ 81 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะแล้ว 2 รายการ (more…)

SAP ได้แก้ไขช่องโหว่ใหม่ 21 รายการที่ส่งผลกระทบต่อผลิตภัณฑ์ของบริษัท รวมถึงช่องโหว่ที่มีความรุนแรงระดับ Critical จำนวน 3 รายการ ที่ส่งผลกระทบต่อซอฟต์แวร์ SAP NetWeaver (more…)

นักวิจัยแจ้งเตือนการโจมตีระบบ SAP S/4HANA ผ่านช่องโหว่ code injection ซึ่งมีความรุนแรงระดับ Critical ไปยัง servers ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต

(more…)