Jaguar Land Rover (JLR) ได้เผยแพร่ผลประกอบการทางการเงินสำหรับช่วงวันที่ 1 กรกฎาคม ถึง 30 กันยายน 2025 โดยระบุว่า เหตุการณ์การโจมตีทางไซเบอร์ครั้งล่าสุด ทำให้บริษัทสูญเงินไปถึง 196 ล้านปอนด์ (ราว 220 ล้านดอลลาร์) เฉพาะในไตรมาสนี้

การโจมตีทางไซเบอร์ครั้งนี้ถูกประกาศเมื่อวันที่ 2 กันยายน 2025 ส่งผลให้ผู้ผลิตรถยนต์สัญชาติอังกฤษต้องระงับการผลิตในโรงงานหลัก และให้พนักงานกลับบ้าน แถลงการณ์ติดตามผลยืนยันว่า มีข้อมูลถูกขโมยไประหว่างการโจมตีทางไซเบอร์ ซึ่งกลุ่มผู้โจมตีที่ชื่อว่า "Scattered Lapsus$ Hunters" ได้ออกมาอ้างความรับผิดชอบบน Telegram

การหยุดชะงักดำเนินต่อไปนานหลายสัปดาห์ สร้างแรงกดดันต่อสถานะทางการเงิน และการตลาดของบริษัท และเพิ่มความเสี่ยงให้กับบริษัทรวมถึงซัพพลายเออร์บางรายที่ต้องเผชิญกับปัญหาสภาพคล่องอย่างรุนแรง

เมื่อวันที่ 29 กันยายน 2025 รัฐบาลสหราชอาณาจักรได้ยื่นมือเข้ามาช่วยเพื่อดึง JLR ออกจากสถานการณ์เลวร้าย โดยอนุมัติการค้ำประกันสินเชื่อวงเงิน 1.5 พันล้านปอนด์ เพื่อช่วยฟื้นฟู supply chain และกลับมาเริ่มสายการผลิตได้อีกครั้งอย่างรวดเร็ว

การผลิตได้กลับมาเริ่มต้นอีกครั้งภายในวันที่ 8 ตุลาคม 2025 โดยเป็นการทยอยกลับมาดำเนินการทีละขั้นตอน

อ้างอิงจากผลประกอบการทางการเงินที่ JLR ได้เผยแพร่ในขณะนี้ การโจมตีทางไซเบอร์ที่ทำให้สายการผลิตหยุดชะงัก และส่งผลกระทบต่อยอดขาย ยังได้สร้างความเสียหายอย่างหนักต่อผลกำไรของบริษัทอีกด้วย

JLR ระบุว่า "ผลขาดทุนก่อนหักภาษี และรายการพิเศษอยู่ที่ 485 ล้านปอนด์สำหรับไตรมาสที่ 2 และ 134 ล้านปอนด์สำหรับครึ่งปีแรก ลดลงจากกำไร 398 ล้านปอนด์ และ 1.1 พันล้านปอนด์ตามลำดับเมื่อปีก่อน"

"อัตรากำไร EBIT (กำไรก่อนหักดอกเบี้ยและภาษี) อยู่ที่ 8.6% สำหรับไตรมาสที่สอง ลดลงจาก 5.1% เมื่อเทียบกับปีก่อน และ 1.4% สำหรับครึ่งปีแรก ลดลงจาก 7.1% ในครึ่งปีแรกของปีที่แล้ว"

"การลดลงของความสามารถในการทำกำไรนี้ ส่วนใหญ่มีสาเหตุมาจากเหตุการณ์โจมตีทางไซเบอร์, ผลกระทบต่อเนื่องจากภาษีศุลกากรของสหรัฐฯ, ปริมาณการผลิตที่ลดลงตามที่กล่าวถึงข้างต้น และค่าใช้จ่าย VME (ค่าใช้จ่ายทางการตลาดผันแปร) ที่เพิ่มขึ้น"

ในรายงานนโยบายทางการเงิน (Monetary Policy Report) ที่เผยแพร่เมื่อต้นสัปดาห์ที่ผ่านมา ธนาคารแห่งประเทศอังกฤษ (Bank of England) ประกาศว่า GDP ของประเทศต่ำกว่าที่คาดไว้ในไตรมาสที่ 3 ปี 2025 โดยระบุถึงการโจมตีทางไซเบอร์ที่ Jaguar Land Rover ว่าเป็นหนึ่งในเหตุผลสำคัญ

หลังเกิดเรื่องทั้งหมด JLR ระบุว่า การดำเนินงานของบริษัทได้กลับเข้าสู่ภาวะปกติแล้วในขณะนี้ โดยการค้าส่ง, โลจิสติกส์ชิ้นส่วน และการสนับสนุนทางการเงินแก่ซัพพลายเออร์ ได้กลับมาดำเนินการเต็มรูปแบบแล้ว

บริษัทยังเน้นย้ำด้วยว่า แม้จะต้องเผชิญกับปัญหาการหยุดชะงักครั้งนี้ แต่แผนการลงทุนของบริษัทจะไม่ได้รับผลกระทบแต่อย่างใด โดยยังคงตั้งงบประมาณไว้ที่ 1.8 หมื่นล้านปอนด์ ตลอดระยะเวลา 5 ปี ตามแผนที่เริ่มตั้งแต่ปีงบประมาณ 2024

ที่มา : bleepingcomputer

 

 

เจ้าหน้าที่ตำรวจได้จับกุมเด็กหนุ่มชาวดัตช์วัย 17 ปีสองคน เมื่อวันจันทร์ที่ 22 กันยายนที่ผ่านมา ในข้อหาใช้เครื่องมือแฮ็กเพื่อลอบสอดแนมให้กับรัสเซีย

(more…)

แพ็กเกจ RubyGems ที่เป็นอันตราย 2 รายการ ซึ่งปลอมเป็นปลั๊กอินของ Fastlane CI/CD ยอดนิยม จะเปลี่ยนเส้นทาง API request ของ Telegram ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม เพื่อดักจับ และขโมยข้อมูล (more…)

ผู้โจมตีที่อยู่เบื้องหลังแพลตฟอร์ม Darcula Phishing-as-a-Service (PhaaS) กำลังเตรียมเปิดตัวเวอร์ชันใหม่ที่ช่วยให้ผู้ใช้งานสามารถโคลนเว็บไซต์ที่ถูกต้องของแบรนด์ใดก็ได้ และสร้างเว็บไซต์ปลอมขึ้นมาเพื่อใช้ในการฟิชชิ่ง ซึ่งทำให้การโจมตีฟิชชิ่งง่ายขึ้น และไม่จำเป็นต้องมีความเชี่ยวชาญทางเทคนิคสูง (more…)

ผู้โจมตีที่อยู่เบื้องหลังแพลตฟอร์ม Darcula Phishing-as-a-Service (PhaaS) กำลังเตรียมเปิดตัวเวอร์ชันใหม่ที่ช่วยให้ผู้ใช้งานสามารถโคลนเว็บไซต์ที่ถูกต้องของแบรนด์ใดก็ได้ และสร้างเว็บไซต์ปลอมขึ้นมาเพื่อใช้ในการฟิชชิ่ง ซึ่งทำให้การโจมตีฟิชชิ่งง่ายขึ้น และไม่จำเป็นต้องมีความเชี่ยวชาญทางเทคนิคสูง (more…)

ผู้ดูแล Python Package Index (PyPI) ได้ทำการ Quarantined แพ็กเกจ "aiocpa" หลังจากพบว่าการอัปเดตใหม่มีการเพิ่มโค้ดที่เป็นอันตรายสำหรับขโมย private keys ผ่าน Telegram (more…)

Telegram จะเริ่มแชร์หมายเลขโทรศัพท์ และ IP Address ของผู้ใช้กับหน่วยงานบังคับใช้กฎหมาย หากพบว่าผู้ใช้ละเมิดกฎของแพลตฟอร์มภายใต้คำขอทางกฎหมายที่ถูกต้อง (more…)

ภูมิภาคเอเชียกลาง กำลังตกเป็นเป้าหมายของแคมเปญที่เป็นอันตรายใหม่ที่แพร่กระจายมัลแวร์บน Android ชื่อ “Ajina.

FBI ได้เข้ายึดเว็บไซต์ BreachForums ที่กำลังโด่งดังจากการซื้อขายข้อมูลรั่วไหล และข้อมูลองค์กรที่ถูกขโมยมาให้กับอาชญากรไซเบอร์รายอื่น

การเข้ายึดดังกล่าวเกิดขึ้นในเช้าวันพุธที่ผ่านมา (15 มีนาคม 2024) ไม่นานหลังจากที่เว็บไซต์ดังกล่าวถูกใช้เพื่อประกาศขายข้อมูลที่ถูกขโมยจากพอร์ทัลของหน่วยงานบังคับใช้กฎหมายของยุโรปเมื่อสัปดาห์ที่แล้ว

โดยปัจจุบันเว็บไซต์แสดงข้อความที่ระบุว่า FBI ได้เข้าควบคุมข้อมูล และระบบเบื้องหลัง ซึ่งแสดงให้เห็นว่าหน่วยงานบังคับใช้กฎหมายได้ยึดทั้งเซิร์ฟเวอร์ และโดเมนของเว็บไซต์

โดยข้อความระบุว่า “เว็บไซต์นี้ถูกปิดโดย FBI และ DOJ ด้วยความช่วยเหลือจากพันธมิตรระหว่างประเทศ”

“เรากำลังตรวจสอบข้อมูลระบบเบื้องหลังของเว็บไซต์นี้ หากใครมีข้อมูลที่จะรายงานเกี่ยวกับพฤติกรรมที่เข้าข่ายความผิดทางไซเบอร์บน BreachForums โปรดแจ้งให้เราทราบ”

ข้อความบนเว็บไซต์ยังแสดงรูปโปรไฟล์สองรูปของผู้ดูแลเว็บไซต์คือ Baphomet และ ShinyHunters ที่อยู่ด้านหลังลูกกรง

หากหน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงข้อมูลระบบเบื้องหลังของ BreachForums ได้จริง พวกเขาจะมีที่อยู่อีเมล, ที่อยู่ IP และข้อความส่วนตัวที่อาจเปิดเผยข้อมูลสมาชิก และใช้ในการสืบสวนของหน่วยงานบังคับใช้กฎหมาย

นอกจากนี้ FBI ยังได้ยึดช่องทาง Telegram ของเว็บไซต์ และช่องทางอื่น ๆ ที่เป็นของ Baphomet โดยหน่วยงานบังคับใช้กฎหมายได้ส่งข้อความที่ระบุว่าช่องทางดังกล่าวอยู่ภายใต้การควบคุมของพวกเขา

ข้อความบางส่วนที่โพสต์ไปยังช่องทาง Telegram ที่ถูกยึดโดยหน่วยงานบังคับใช้กฎหมายนั้นมาจากบัญชีของ Baphomet โดยตรง ซึ่งมีแนวโน้มว่าผู้ดูแลเว็บไซต์ถูกจับกุม และอุปกรณ์ของเขาตอนนี้อยู่ในมือของหน่วยงานบังคับใช้กฎหมายเรียบร้อยแล้ว

FBI กำลังขอให้เหยื่อ และบุคคลต่าง ๆ ติดต่อพวกเขาพร้อมข้อมูลเกี่ยวกับ BreachForums และสมาชิกเพื่อช่วยในการสืบสวน

ข้อความการเข้ายึดเว็บไซต์ รวมถึงวิธีการติดต่อ FBI เกี่ยวกับการยึดเว็บไซต์ดังกล่าว รวมถึงอีเมล, บัญชี Telegram, บัญชี TOX ตั้งอยู่ในโดเมนย่อยของศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (IC3) ของ FBI โดยมีข้อความระบุว่า “สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กำลังสืบสวนฟอรัมการซื้อขายข้อมูลที่ผิดกฏหมายที่ชื่อว่า BreachForums และ Raidforums”

โดยตั้งแต่เดือนมิถุนายน 2023 ถึงเดือนพฤษภาคม 2024 BreachForums (โฮสต์ที่ breachforums.

นักวิจัยด้านความปลอดภัยจาก Sophos พบว่ากลุ่ม APT (Advanced Persistent Threat) ในชื่อ "Dragon Breath," "Golden Eye Dog" หรือ "APT-Q-27" ได้ใช้เทคนิคการโจมตีแบบ DLL sideloading ที่ซับซ้อนมากขึ้นในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยการโจมตีส่วนใหญ่เริ่มต้นจากการใช้แอปพลิเคชันที่ดูปกติเช่น Telegram ที่จะเรียกใช้งาน payload ขั้นที่สอง ซึ่งในบางครั้งก็ยังเป็นการใช้งานตามปกติอยู่ แล้วจึงใช้วิธีการโหลด DLL ที่เป็นอันตรายในขั้นตอนถัดไป โดยแอปที่มักถูกนำมาใช้ในการโจมตีได้แก่ Telegram, LetsVPN, WhatsApp ทั้งใน Android, iOS หรือ Windows ซึ่ง support ภาษาจีน โดยคาดว่าแอปพลิเคชันที่ถูกฝังโทรจันน่าจะมาจากโฆษณาที่ถูกโปรโมตโดย BlackSEO หรือ Malvertizing

โดยเป้าหมายหลักของการโจมตีอยู่ในกลุ่มผู้ใช้งาน Windows ที่ใช้ภาษาจีนในประเทศจีน, ญี่ปุ่น, ไต้หวัน, สิงคโปร์, ฮ่องกง และฟิลิปปินส์

Double DLL sideloading

DLL sideloading เป็นการเทคนิคการโจมตีที่ถูกพบตั้งแต่ปี 2010 ซึ่งโจมตีไปยัง Windows โดยการโหลดไฟล์ DLL (Dynamic Link Library) ที่เป็นอันตราย โดยใช้ประโยชน์จากกลไกในลำดับการค้นหา และเรียกใช้งาน DLL ไฟล์บน Windows เพื่อวางไฟล์ DLL ที่เป็นอันตรายด้วยชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง เพื่อทำให้เมื่อแอปพลิเคชันพยายามโหลดไฟล์ DLL แอปพลิเคชันจะโหลดไฟล์ DLL ที่เป็นอันตรายไปแทน ซึ่ง DLL ที่เป็นอันตราย สามารถให้สิทธิ์สูงแก่ Hacker หรือเรียกใช้คำสั่งบนเครื่องโฮสต์ โดยใช้แอปพลิเคชันที่กำลังรันคำสั่งอยู่

เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชันอันตรายสำเร็จ มัลแวร์ก็จะทำการทิ้งส่วนประกอบต่าง ๆ ลงในระบบ และสร้าง shortcut บนเดสก์ท็อป และ startup ระบบ ซึ่งเมื่อเหยื่อทำการเรียกใช้ desktop shortcut แอปดังกล่าว คำสั่งต่อไปนี้จะถูกดำเนินการบนระบบ

โดยคำสั่งจะเรียกใช้ไฟล์ที่เปลี่ยนชื่อมาจาก 'regsvr32.exe' ที่ชื่อว่า 'appR.exe' เพื่อดำเนินการรันไฟล์ที่เปลี่ยนชื่อมาจาก 'scrobj.