Trend Micro บริษัทซอฟต์แวร์ความปลอดภัยไซเบอร์จากญี่ปุ่น ออกแพตช์แก้ไขช่องโหว่ระดับ Critical 2 รายการ บนแพลตฟอร์ม Apex One ซึ่งช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบจากระยะไกลบนเครื่อง Windows ที่มีช่องโหว่ได้

Apex One เป็นแพลตฟอร์มรักษาความปลอดภัยสำหรับ endpoint ที่ตรวจจับ และตอบสนองต่อภัยคุกคามต่าง ๆ ไม่ว่าจะเป็นมัลแวร์, สปายแวร์, เครื่องมืออันตราย รวมถึงช่องโหว่ต่าง ๆ

ช่องโหว่แรกที่ได้รับการแก้ไขในสัปดาห์นี้คือ CVE-2025-71210 ซึ่งเป็นช่องโหว่ประเภท path traversal บน Management Console ของ Apex One โดยช่องโหว่นี้ช่วยให้ผู้โจมตีที่ไม่มีสิทธิ์ สามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้

ช่องโหว่ที่สองหมายเลข CVE-2025-71211 เป็นช่องโหว่ประเภท Path Traversal บน Management Console ของ Apex One เช่นกัน โดยมีลักษณะความรุนแรงใกล้เคียงกับ CVE-2025-71210 แต่ส่งผลกระทบต่อไฟล์ executable ที่แตกต่างกัน

Trend Micro ได้ระบุในประกาศแจ้งเตือนความปลอดภัยเมื่อวันที่ 24 กุมภาพันธ์ 2026 ที่ผ่านมาว่า การที่จะโจมตีผ่านช่องโหว่นี้ได้สำเร็จ ผู้โจมตีจำเป็นต้องเข้าถึง Trend Micro Apex One Management Console ได้ก่อน ดังนั้น สำหรับลูกค้าใดที่มีการเปิดให้เข้าถึง Management Console ได้จากภายนอก ควรพิจารณามาตรการลดความเสี่ยง เช่น จำกัดสิทธิ์การเข้าถึงเฉพาะ IP Address ที่กำหนด

Trend Micro ระบุเพิ่มเติมว่า แม้ว่าการโจมตีอาจต้องอาศัยเงื่อนไขเฉพาะทางหลายอย่างเพื่อให้การโจมตีสำเร็จ แต่ Trend Micro ขอแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

เพื่อแก้ไขช่องโหว่ระดับ Critical ดังกล่าว Trend Micro ได้ดำเนินการอัปเดตแพตช์ใน Apex One เวอร์ชัน SaaS เป็นที่เรียบร้อย และได้ออก Critical Patch Build 14136 ซึ่งแก้ไขช่องโหว่การยกระดับสิทธิ์ที่มีระดับความรุนแรงสูงสองรายการใน Windows agent และอีก 4 รายการที่ส่งผลกระทบต่อ macOS agent ด้วย

แม้ว่าทาง Trend Micro จะยังไม่พบการใช้ช่องโหว่เหล่านี้โจมตีในวงกว้าง แต่ผู้โจมตีได้ใช้ช่องโหว่ Apex One อื่น ๆ โจมตีในช่วงหลายปีที่ผ่านมา

ตัวอย่างเช่น ในเดือนสิงหาคม 2025 Trend Micro เคยแจ้งเตือนให้ลูกค้าติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ RCE ใน Apex One หมายเลข CVE-2025-54948 ที่กำลังถูกนำไปใช้ในการโจมตีจริง รวมถึงได้แก้ไขช่องโหว่ Zero-day ของ Apex One อีก 2 รายการ ที่กำลังถูกนำไปใช้โจมตีในวงกว้างไปก่อนหน้านี้ในเดือนกันยายน 2022 หมายเลข CVE-2022-40139 และเดือนกันยายน 2023 หมายเลข CVE-2023-41179

ปัจจุบันหน่วยงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) กำลังเฝ้าติดตามช่องโหว่ของ Trend Micro Apex จำนวน 10 รายการ ที่เคยถูกโจมตีไปแล้ว หรือยังคงถูกโจมตีอยู่ในขณะนี้

ที่มา : bleepingcomputer

Microsoft ออก Patch Tuesday ประจำเดือนมกราคม 2026 โดยแก้ไขช่องโหว่ 114 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการ และ ช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะแล้ว 2 รายการ

โดย Patch Tuesday ประจำเดือนมกราคม 2026 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 8 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution 6 รายการ และช่องโหว่ Privilege Escalation 2 รายการ

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 57 รายการ
ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 3 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 22 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 22 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 2 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 5 รายการ

ช่องโหว่ Zero-Days 3 รายการ ที่ถูกแก้ไข

Patch Tuesday ประจำเดือนมกราคม 2026 มีการแก้ไขช่องโหว่ Zero-days 1 รายการ ที่กำลังถูกใช้ในการโจมตี และช่องโหว่ Zero-days 2 รายการ ที่เปิดเผยต่อสาธารณะ
**

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี
**

CVE-2026-20805 - Desktop Window Manager Information Disclosure Vulnerability
Microsoft ได้แก้ไขช่องโหว่ Desktop Window Manager ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งเกิดจากการเปิดเผยข้อมูลที่สำคัญใน Desktop Windows Manager ทำให้ Hacker ที่ได้รับ authorized สามารถเปิดเผยข้อมูลในเครื่องได้ เมื่อโจมตีช่องโหว่นี้สำเร็จ จะทำให้ Hacker สามารถอ่าน memory addresses ที่เกี่ยวข้องกับ ALPC port ซึ่งเป็นหน่วยความจำในโหมดผู้ใช้จากระยะไกลได้

Microsoft ระบุว่า Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC) เป็นผู้ค้นพบช่องโหว่ดังกล่าว แต่ไม่ได้เปิดเผยวิธีการโจมตีช่องโหว่

ช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ

CVE-2026-21265 - Secure Boot Certificate Expiration Security Feature Bypass Vulnerability

Microsoft ได้แจ้งเตือนว่า Certificate ของ Windows Secure Boot ที่ออกในปี 2011 ใกล้หมดอายุแล้ว และระบบที่ไม่ได้รับการอัปเดตมีความเสี่ยงเพิ่มขึ้นที่จะถูก Bypassing Secure Boot ได้

โดยการอัปเดตความปลอดภัยจะต่ออายุ Certificate ที่ได้รับผลกระทบเพื่อรักษา Secure Boot trust chain และ verification of boot components ต่อไปได้

CVE-2023-31096 Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability

ก่อนหน้านี้ Microsoft ได้แจ้งเตือนเกี่ยวกับช่องโหว่ที่กำลังถูกใช้ในการโจมตี Agere Modem driver ของ third-party ซึ่งมาพร้อมกับ Windows เวอร์ชันที่รองรับ เมื่อโจมตีสำเร็จจะสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบ บนระบบที่มีช่องโหว่ได้ ซึ่งถูกระบุว่าจะถูกลบออกในการอัปเดตในอนาคต

ใน Patch Tuesday ประจำเดือนมกราคม 2026 ทาง Microsoft ได้ลบไดรเวอร์ที่มีช่องโหว่ (agrsm64.sys และ agrsm.

Trend Micro ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Remote code execution และ Authentication bypass ความรุนแรงระดับ Critical หลายรายการ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Apex Central และ Endpoint Encryption (TMEE) PolicyServer

โดย Trend Micro ยืนยันว่ายังไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่ดังกล่าวแต่อย่างใด แต่อย่างไรก็ตาม แนะนำให้ผู้ใช้งานเร่งติดตั้งแพตซ์อัปเดตด้านความปลอดภัยทันที เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น

Trend Micro Endpoint Encryption PolicyServer เป็น Central management server ของ Trend Micro Endpoint Encryption (TMEE) ซึ่งใช้สำหรับ Full Disk Encryption และ Removable Media Encryption บนอุปกรณ์ Windows

ผลิตภัณฑ์นี้ใช้ในสภาพแวดล้อมขององค์กรในอุตสาหกรรมที่มีการควบคุม ซึ่งการปฏิบัติตามมาตรฐานการปกป้องข้อมูลถือเป็นสิ่งสำคัญ

ในการอัปเดตล่าสุด Trend Micro ได้แก้ไขช่องโหว่ที่มีความรุนแรงระดับ High และ Critical ดังต่อไปนี้

CVE-2025-49212 เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ซึ่งเกิดจากการ deserialization ที่ไม่ปลอดภัยใน PolicyValueTableSerializationBinder class ซึ่งผู้โจมตีจากภายนอกสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้โค้ดได้ตามต้องการด้วยสิทธิ์ SYSTEM โดยไม่ต้องเข้าสู่ระบบ

CVE-2025-49213 เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ใน PolicyServerWindowsService class ซึ่งเกิดจากการ deserialization ข้อมูลที่ไม่น่าเชื่อถือ ซึ่งผู้โจมตีสามารถเรียกใช้โค้ดได้ตามต้องการด้วยสิทธิ์ SYSTEM โดยไม่ต้องผ่านการยืนยันตัวตน

CVE-2025-49216 เป็นช่องโหว่ Authentication Bypass ใน DbAppDomain service ซึ่งเกิดจากการออกแบบระบบยืนยันตัวตนที่ไม่สมบูรณ์ ผู้โจมตีจากภายนอกสามารถ Bypass การเข้าสู่ระบบได้ทั้งหมด และสามารถดำเนินการในระดับผู้ดูแลระบบ (admin-level) ได้โดยไม่ต้องใช้ข้อมูล credentials

CVE-2025-49217 เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ใน ValidateToken method ซึ่งเกิดจากการ deserialization ที่ไม่ปลอดภัย แม้ว่าช่องโหว่นี้จะถูกโจมตีได้ยาก แต่ก็ยังสามารถทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถรันโค้ดในระบบโดยมีสิทธิ์ระดับ SYSTEM ได้

แม้ว่าในประกาศด้านความปลอดภัยของ Trend Micro สำหรับ Endpoint Encryption PolicyServer จะจัดอันดับช่องโหว่ทั้งสี่รายการข้างต้นเป็นช่องโหว่ระดับ Critical แต่ในคำแนะนำด้านความปลอดภัยของ ZDI (Zero Day Initiative) ได้ประเมิน CVE-2025-49217 ว่าเป็นช่องโหว่ที่มีความรุนแรงในระดับ High

โดย Endpoint Encryption PolicyServer ยังได้แก้ไขช่องโหว่เพิ่มเติมอีก 4 รายการ ที่จัดอยู่ในกลุ่มช่องโหว่ความรุนแรงระดับ High เช่น ช่องโหว่ SQL Injection และ Privilege Escalation

ช่องโหว่ทั้งหมดได้รับการแก้ไขในเวอร์ชัน 6.0.0.4013 (Patch 1 Update 6)  โดยช่องโหว่เหล่านี้ส่งผลกระทบต่อทุกเวอร์ชันก่อนหน้านี้ และไม่มีวิธีแก้ไขปัญหาชั่วคราว หรือมาตรการลดผลกระทบ (mitigations or workarounds) สำหรับช่องโหว่เหล่านี้

ช่องโหว่ชุดที่สองที่ Trend Micro ดำเนินการแก้ไข ส่งผลกระทบต่อ Apex Central ซึ่งเป็นระบบ security management console ที่ใช้สำหรับการตรวจสอบ กำหนดค่า และจัดการผลิตภัณฑ์ Trend Micro รวมถึงจัดการ security agents หลายตัวของ Trend Micro ภายในองค์กร

ทั้งสองช่องโหว่นี้เป็นช่องโหว่ที่มีความรุนแรงระดับ Critical และเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication

CVE-2025-49219 เป็นช่องโหว่การเรียกโค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ใน GetReportDetailView method ของ Apex Central ซึ่งเกิดจากการจัดการ deserialization ที่ไม่ปลอดภัย ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดในสิทธิ์ของ NETWORK SERVICE ได้ (คะแนน CVSS 9.8)

CVE-2025-49220 เป็นช่องโหว่การเรียกโค้ดที่เป็นอันตรายจากระยะไกลแบบ pre-authentication ใน ConvertFromJson method ของ Apex Central โดยเกิดจากการตรวจสอบความถูกต้องของข้อมูลนำเข้าที่ไม่เหมาะสมระหว่างการ deserialization ซึ่งผู้โจมตีสามารถเรียกใช้โค้ดได้ตามต้องการจากระยะไกล โดยไม่ต้องผ่านการยืนยันตัวตน (คะแนน CVSS 9.8)

ช่องโหว่เหล่านี้ได้รับการแก้ไขใน Patch B7007 สำหรับ Apex Central 2019 (On-premise) ส่วนใน Apex Central ที่เป็น Apex Central as a Service จะได้รับการอัปเดต และแก้ไขโดยอัตโนมัติ

ที่มา : bleepingcomputer

Rapid7 ออกรายงานการค้นพบแคมเปญการโจมตีของกลุ่ม Ransomware ที่มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows เนื่องจากมีสิทธิ์การใช้งานที่สูงกว่าผู้ใช้งานทั่วไป โดยใช้โฆษณาบน Google หลอกให้เหยื่อดาวน์โหลด Putty และ WinSCP ปลอม เมื่อทำการค้นหาบน Google หรือ Bing

WinSCP และ Putty เป็น Windows utilities ยอดนิยม โดย WinSCP เป็น SFTP client และ FTP client ส่วน Putty เป็น SSH client

โดยที่กลุ่ม Ransomware ได้ทำการสร้างหน้าเว็บไซต์ขึ้นมา คือ [https://www[.]chiark.

Trend Micro เปิดเผยการค้นพบแคมเปญการโจมตีใหม่ของมัลแวร์ RomCom ที่ได้ทำการปลอมแปลงเป็นเว็บไซต์ของซอฟต์แวร์ยอดนิยม เพื่อหลอกให้เหยื่อทำการดาวน์โหลด และติดตั้งโปรแกรมที่เป็นอันตราย (more…)

D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ซึ่งส่งผลกระทบต่อชุดการจัดการเครือข่าย D-View 8 เวอร์ชัน 2.0.1.27 และต่ำกว่า

D-View เป็นเครื่องมือการจัดการเครือข่ายขั้นสูงที่ถูกพัฒนาโดย D-Link ที่ได้รับการออกแบบโดยคำนึงถึงความต้องการที่เปลี่ยนแปลงไปขององค์กรขนาดกลาง และขนาดใหญ่ ซอฟต์แวร์นี้ให้ความสามารถในการตรวจสอบ ควบคุมการตั้งค่าอุปกรณ์ และสร้างแผนที่เครือข่าย ทำให้สามารถจัดการเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น และใช้เวลาน้อยลง

เมื่อปลายปีที่ผ่านมา นักวิจัยด้านความปลอดภัยที่เข้าร่วมโครงการ Zero Day Initiative (ZDI) ของ Trend Micro ได้ค้นพบช่องโหว่ 6 รายการ ที่ส่งผลกระทบต่อ D-View และได้รายงานไปยัง D-Link ในวันศุกร์ที่ 23 ธันวาคม 2022

ช่องโหว่ 2 รายการที่พบ มีคะแนน CVSS: 9.8 ความรุนแรงระดับ Critical มีดังนี้

CVE-2023-32165 เป็นช่องโหว่ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สิทธิ์ SYSTEM ที่เป็นสิทธิ์สูงสุดสำหรับ Windows ส่งผลให้สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์
CVE-2023-32169 เป็นช่องโหว่ที่ทำให้สามารถข้ามขั้นตอนการพิสูจน์ตัวตน (Authentication Bypass) โดยใช้คีย์การเข้ารหัสแบบฮาร์ดโค้ดใน TokenUtils class ของซอฟแวร์ ส่งผลทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวสามารถยกระดับสิทธิ์ เข้าถึงข้อมูล และเปลี่ยนแปลงการกำหนดค่า และการตั้งค่าบนซอฟต์แวร์ รวมทั้งการติดตั้งแบ็คดอร์ และมัลแวร์วัน

พุธที่ 17 พฤษภาคม 2023 ที่ผ่านมา D-Link ทราบถึงปัญหาด้านความปลอดภัยจากรายงาน จึงได้เริ่มการตรวจสอบ และพัฒนาแพตช์ความปลอดภัยทันที และยังคงแนะนำให้ ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชัน 2.0.1.28 ที่ได้รับการแก้ไข อย่างไรก็ตาม เนื่องจากประกาศยังเตือนว่า แพตช์ดังกล่าวเป็นซอฟต์แวร์เวอร์ชันเบต้า หรือเวอร์ชั่นแก้ไขด่วนที่ยังอยู่ในขั้นตอนการทดสอบขั้นสุดท้าย การอัปเกรดเป็นเวอร์ชัน 2.0.1.28 อาจทำให้การทำงานของ D-View ไม่เสถียรได้

นอกจากนี้ ยังแนะนําให้ผู้ใช้งานตรวจสอบเวอร์ชันฮาร์ดแวร์ของผลิตภัณฑ์ โดยการตรวจสอบ underside label หรือ web configuration panel ก่อนที่จะดาวน์โหลดอัปเดตเฟิร์มแวร์ที่เกี่ยวข้อง

ที่มา : bleepingcomputer

PaperCut ผู้พัฒนาซอฟต์แวร์ Print management ออกมาแจ้งเตือนผู้ใช้งานให้เร่งทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน หลังจากที่พบว่าช่องโหว่ดังกล่าวได้ถูกกลุ่ม Hacker นำไปใช้ในการโจมตี PaperCut server ที่มีช่องโหว่ (more…)

นักวิจัยของ ESET ได้เผยแพร่การค้นพบ backdoor malware ตัวใหม่ในชื่อ MQsTTang ที่ถูกสร้างขึ้นโดย Mustang Panda กลุ่ม Hacker ชาวจีน โดยเริ่มพบการโจมตีในเดือน มกราคม 2023 จนถึงปัจจุบัน โดยมีเป้าหมายการโจมตีไปยังรัฐบาล และองค์กรทางการเมืองในยุโรป และเอเชีย โดยเน้นไปที่ไต้หวัน และยูเครน

Mustang Panda เป็นกลุ่มภัยคุกคามระดับสูง Advanced Persistent Threat (APT) ซึ่งเป็นที่รู้จักจากการใช้มัลแวร์ PlugX ที่ปรับปรุงใหม่เพื่อใช้ในการโจรกรรมข้อมูล โดยกลุ่ม Hacker ดังกล่าวยังเป็นที่รู้จักกันในชื่อ TA416 และ Bronze President

โดยก่อนหน้านี้ Trend Micro เคยพบการโจมตีครั้งล่าสุดของ Mustang Panda ในเดือนมีนาคมถึงตุลาคม 2022 โดยในแคมเปญดังกล่าว กลุ่ม Mustang Panda ได้ใช้มัลแวร์สามสายพันธุ์ ได้แก่ PubLoad, ToneIns และ ToneShell และพบว่ามีการกำหนดเป้าหมายไปยัง ออสเตรเลีย ญี่ปุ่น ไต้หวัน และฟิลิปปินส์

MQsTTang backdoor

จากการวิเคราะห์ของ ESET พบว่า MQsTTang backdoor ไม่ได้มีต้นแบบจากมัลแวร์ตัวใดมาก่อน ซึ่งบ่งชี้ได้ว่า backdoor ดังกล่าวได้ถูกสร้างขึ้นมาเพื่อให้สามารถหลบเลี่ยงการตรวจจับ และทำให้สามารถระบุแหล่งที่มาได้ยากขึ้น

การโจมตีจะเริ่มจาก Phishing Email ที่มีการฝังเพย์โหลดที่เป็นอันตราย เมื่อเป้าหมายทำการเปิดอีเมล จะมีดาวน์โหลดมัลแวร์จาก GitHub repositories เพื่อเริ่มการโจมตี โดยตัวมัลแวร์จะเป็นไฟล์ที่อยู่ภายในไฟล์ RAR archives โดยตั้งชื่อตามหนังสือทางการทูต เช่น การสแกนหนังสือเดินทางของสมาชิกคณะผู้แทนทางการทูต บันทึกของสถานทูต เป็นต้น

โดย MQsTTang นั้นถือเป็น “barebones backdoor” (แบ็คดอร์ที่ได้รับการออกแบบให้เรียบง่ายที่สุดเท่าที่จะเป็นไปได้ ทำให้ตรวจจับได้ยากขึ้น) ที่มีความสามารถในการเรียกใช้งานคำสั่งได้จากระยะไกล และส่งข้อมูลกลับมายัง C2 (Command & Control) รวมถึงการแฝงตัวอยู่บนระบบ (Persistence)

ซึ่งการแฝงตัวอยู่บนระบบโดยการเพิ่มคีย์รีจิสทรีใหม่ภายใต้ HKCK\Software\Microsoft\Windows\CurrentVersion\Run โดยจะทำให้ระบบเรียกใช้มัลแวร์ทุกครั้งเมื่อมีการ Restart โดยจะมีเพียงการเชื่อมต่อผ่าน C2 (Command & Control) เท่านั้น

MQsTTang จะทำงานภายใต้ MQTT protocol สำหรับคำสั่งการ และการควบคุมการเชื่อมต่อผ่าน C2 ซึ่งทำให้ช่วยในการปกปิดร่องรอยการเชื่อมต่อผ่าน C2 รวมถึงการโจมตี ทำให้มีโอกาสน้อยที่จะถูกตรวจจับได้

รวมไปถึง MQsTTang จะทำการตรวจสอบการ debug หรือ monitoring tools ที่อยู่บนเครื่องเหยื่อตลอดเวลา เมื่อพบก็จะเปลี่ยนลักษณะการทำงาน เพื่อหลีกเลี่ยงการถูกตรวจจับอีกด้วย

 

ที่มา : bleepingcomputer

PlugX Trojan ถูกพบว่าปลอมตัวเป็นเครื่องมือโอเพนซอร์สที่ใช้ตรวจสอบข้อผิดพลาดของ Windows ที่เรียกว่า x64dbg เพื่อหลบเลี่ยงการตรวจจับด้านความปลอดภัย และเข้าควบคุมระบบเป้าหมาย

โดย Buddy Tancio, Jed Valderama และ Catherine Loveria นักวิจัย Trend Micro ระบุในรายงานเมื่อสัปดาห์ที่ผ่านมาว่า "ไฟล์ดังกล่าวเป็นเครื่องมือโอเพนซอร์สที่ใช้สำหรับตรวจสอบข้อผิดพลาดบน Windows ในการตรวจสอบ kernel-mode, user-mode code, crash dumps, และ CPU registers"

PlugX หรือที่รู้จักกันในอีกชื่อว่า Korplug เป็น post-exploitation โมดูลที่มีความสามารถหลากหลาย เช่น การขโมยข้อมูล และความสามารถในการควบคุมเครื่องคอมพิวเตอร์ที่ถูกโจมตี

PlugX ถูกรายงานเป็นครั้งแรกในปี 2012 แต่ตัวอย่างตัวแรกของมัลแวร์ ถูกพบตั้งแต่เมื่อเดือนกุมภาพันธ์ 2008 จากรายงานของ Trend Micro ซึ่งในระหว่างนั้น PlugX ได้ถูกใช้โดยกลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับรัฐบาลจีน รวมถึงกลุ่มอาชญากรรมทางด้านไซเบอร์ต่าง ๆ

หนึ่งในวิธีการหลักที่ PlugX ใช้คือ DLL side-loading เพื่อโหลด DLL ที่เป็นอันตรายจากซอฟแวร์ที่มี digital signed อย่างถูกต้อง ซึ่งในกรณีนี้คือเครื่องมือสำหรับ Debugging ที่ชื่อ x64dbg (x32dbg.

กลุ่มผู้ใช้งานที่ใช้ภาษาจีนเป็นหลักในเอเชียตะวันออกเฉียงใต้ และเอเชียตะวันออกกำลังตกเป็นเป้าหมายของแคมเปญ Google Ads เพื่อหลอกลวงให้ดาวน์โหลด trojans ที่ใช้ในการเข้าถึงจากระยะไกล เช่น FatalRAT ไปยังเครื่องเหยื่อ

ผู้โจมตีจะใช้การซื้อโฆษณา เพื่อให้แสดงในผลของการค้นหาบน Google เมื่อผู้ใช้พยายามดาวน์โหลด Application ที่เป็นที่นิยม จะถูกนำไปยังหน้าเว็บไซต์สำหรับดาวน์โหลดโปรแกรมซึ่งถูกฝัง Trojan เอาไว้ โดย ESET ระบุในรายงานว่าปัจจุบันโฆษณาดังกล่าวได้ถูกลบออกไปแล้ว

Google Chrome ก็เป็นหนึ่งใน Application ที่มีหน้าเว็บไซต์สำหรับดาวน์โหลดปลอมขึ้นมา รวมไปถึง Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao และ WPS Office

โดย ESET ระบุในรายงานที่พบในช่วงระหว่างเดือนสิงหาคม 2565 ถึงมกราคม 2566 ว่า "เว็บไซต์ และโปรแกรมที่ดาวน์โหลดจากเว็บไซต์ส่วนใหญ่เป็นภาษาจีน และในบางกรณีก็มีซอฟต์แวร์เวอร์ชั่นภาษาจีนที่ไม่สามารถใช้งานได้ในจีนด้วยเช่นกัน"

โดยเหยื่อส่วนใหญ่จะอาศัยอยู่ที่ ไต้หวัน จีน ฮ่องกง มาเลเซีย ญี่ปุ่น ฟิลิปปินส์ ไทย สิงคโปร์ อินโดนีเซีย และเมียนมาร์

สิ่งที่สำคัญที่สุดในการโจมตีคือการสร้างเว็บไซต์ที่มีโดเมนลักษณะคล้ายกัน หรือที่เรียกว่า typosquatted domain เพื่อเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย ซึ่งบางกรณีถึงแม้จะมีไฟล์ติดตั้งของซอฟต์แวร์ที่ถูกต้อง แต่ก็ยังมีการแอบติดตั้ง FatalRAT ด้วยเช่นเดียวกัน

โดยผู้โจมตีจะสามารถควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ รวมถึงสั่งรันคำสั่งที่เป็นอันตราย, เก็บข้อมูลจาก web browsers และตรวจจับการพิมพ์บน Keyboard

นักวิจัยระบุว่า "Hacker ใช้ความพยายามในการตั้งชื่อโดเมนให้มีความคล้ายกับชื่อที่เป็นทางการมากที่สุดเท่าที่จะทำได้ และ website ปลอมส่วนมากจะมีหน้าตาเหมือนกันกับ website ที่ถูกต้อง"

การค้นพบนี้เกิดขึ้นภายในเวลาไม่ถึงหนึ่งปีหลังจากที่ Trend Micro เปิดเผยแคมเปญ Purple Fox ที่ใช้ประโยชน์จากซอฟต์แวร์ที่เลียนแบบ Adobe, Google Chrome, Telegram และ WhatsApp เพื่อเผยแพร่ FatalRAT

ที่มา : thehackernews