กลุ่มแฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Windows จำนวน 3 รายการที่เพิ่งถูกเปิดเผย เพื่อใช้ในการโจมตีโดยมีวัตถุประสงค์เพื่อยกระดับสิทธิ์เป็นระดับ SYSTEM หรือระดับผู้ดูแลระบบ (more…)

การโจมตีด้วย Ransomware ก้าวล้ำไปไกลกว่าเพียงแค่การใช้โค้ดที่เป็นอันตรายแบบธรรมดา ปัจจุบันผู้โจมตีดำเนินการด้วยความแม่นยำราวกับธุรกิจที่มีการวางแผนมาอย่างดี โดยการใช้เครื่องมือที่น่าเชื่อถือของ Windows เข้ามาทำลายระบบป้องกันอย่างเงียบ ๆ ก่อนที่ Ransomware จะเริ่มเข้ามามีบทบาท

การเปลี่ยนแปลงในครั้งนี้ ทำให้การโจมตีด้วย Ransomware สมัยใหม่ตรวจจับได้ยากขึ้น และสร้างความเสียหายได้รุนแรงกว่าเดิมเป็นอย่างมาก

เครื่องมือที่เป็นหัวใจสำคัญของภัยคุกคามนี้ไม่ได้ถูกออกแบบมาเพื่อการก่ออาชญากรรม แต่เป็น Utilities เช่น Process Hacker, IOBit Unlocker, PowerRun และ AuKill ซึ่งเดิมทีถูกสร้างขึ้นมาเพื่อให้ทีม IT ใช้จัดการกระบวนการปลดล็อกไฟล์ และแก้ไขปัญหาของระบบในเวลาปกติ

ผู้โจมตีได้นำเครื่องมือเหล่านี้มาดัดแปลงวัตถุประสงค์เพื่อปิดการทำงานของโปรแกรม Antivirus และซอฟต์แวร์ Endpoint Detection and Response (EDR) อย่างเงียบ ๆ ก่อนที่จะเรียกใช้งาน Ransomware

เนื่องจากเครื่องมือเหล่านี้มี digital signed และมีการใช้งานแพร่หลายในสภาพแวดล้อมระดับองค์กร ระบบรักษาความปลอดภัยส่วนใหญ่จึงถือว่าเป็นการจัดการตามปกติ ซึ่งทิ้งร่องรอยไว้น้อยมาก

นักวิจัยจาก Seqrite ได้ระบุถึงรูปแบบที่กำลังเติบโตนี้ และตั้งข้อสังเกตว่าการใช้เครื่องมือ Low-level ที่ถูกต้องในทางที่ผิด ซึ่งได้กลายเป็นเอกลักษณ์สำคัญของการโจมตีด้วย Ransomware ในปัจจุบัน ตั้งแต่ LockBit 3.0 และ BlackCat ไปจนถึง Dharma, Phobos และ MedusaLocker

งานวิจัยแสดงให้เห็นว่า กลุ่มผู้โจมตีเหล่านี้ไม่ได้พึ่งพาเพียงแค่มัลแวร์ที่เขียนขึ้นมาเองเท่านั้น แต่พวกเขายังทำการศึกษาเป้าหมายอย่างละเอียด ระบุจุดอ่อนด้านความปลอดภัย และใช้เครื่องมือที่สร้างขึ้นเพื่อรักษาความปลอดภัยของระบบเป็นอาวุธ

การปิดการทำงานของ antivirus ไม่ใช่ขั้นตอนรอง แต่เป็นส่วนสำคัญที่ถูกวางแผนมาอย่างจงใจ เพราะเมื่อซอฟต์แวร์รักษาความปลอดภัยยังทำงานอยู่ มันจะสามารถบล็อกไฟล์อันตรายขณะรันโปรแกรม ตรวจจับพฤติกรรมการเข้ารหัสข้อมูลที่ผิดปกติ และแจ้งเตือนทีมรักษาความปลอดภัยได้แบบเรียลไทม์

โดยการปิดระบบป้องกันเหล่านี้ก่อน ผู้โจมตีจะสร้างช่องทางเงียบ ๆ ที่ Ransomware สามารถทำงานได้อย่างอิสระ และไม่ถูกขัดจังหวะ

กลยุทธ์นี้มีการพัฒนาอย่างก้าวกระโดดในช่วงหลายปีที่ผ่านมา จาก Command-line scripts พื้นฐาน ที่ใช้ในภัยคุกคามยุคแรก ๆ เช่น CryptoLocker และ WannaCry ไปสู่การจัดการ Driver ระดับ Kernel ที่พบในแคมเปญ Conti และ LockBit 2.0 และในปัจจุบันคือ Antivirus killer modules แบบสำเร็จรูปที่ฝังอยู่ใน Ransomware-as-a-Service (RaaS) โดยตรง

ขอบเขตของภัยคุกคามนี้ครอบคลุมองค์กรทุกขนาด ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรขนาดใหญ่ โดยเส้นทางการโจมตีมักจะเป็นไปตามลำดับขั้นตอนที่จงใจใช้เครื่องมือที่น่าเชื่อถือในทุกระดับเพื่อหลบเลี่ยงการตรวจจับ

การใช้ประโยชน์จากเครื่องมือ Windows แบบ 2 ขั้นตอน

เมื่อผู้โจมตีสามารถเจาะเข้าสู่ระบบได้แล้ว พวกเขาจะดำเนินกระบวนการ 2 ขั้นตอน เพื่อจัดการกับระบบความปลอดภัยอย่างเป็นระบบก่อนที่ Ransomware จะเริ่มทำงาน

ในขั้นตอนแรกนี้ เป้าหมายคือการทำให้ Antivirus ใช้งานไม่ได้ และการยกระดับสิทธิ์เครื่องมืออย่าง IOBit Unlocker เพื่อลบไฟล์ Binaries ของ Antivirus โดยใช้ API NtUnlockFile ในขณะที่ TDSSKiller เดิมเป็นเครื่องมือลบ Rootkit แต่ถูกนำมาใช้ในการ Unload Driver ของ Antivirus ออกจาก Kernel เพื่อไม่ให้ระบบป้องกันโหลดกลับมาใหม่ได้

Process Hacker จะยุติ Process ของ Antivirus โดยใช้ช่องโหว่ SeDebugPrivilege และ Atool_ExperModel เพื่อลบค่า Registry ที่ใช้ในการเริ่มระบบของ Antivirus รวมถึงลบ Scheduled Tasks เพื่อตัดวงจรการกู้คืนระบบป้องกัน

ขั้นตอนที่สองเป็นขั้นตอนที่การโจมตีมีความอันตรายที่สุด เมื่อซอฟต์แวร์รักษาความปลอดภัยถูกทำให้หยุดทำงานแล้ว ผู้โจมตีจะเปลี่ยนเป้าหมายไปที่การขโมยข้อมูล Credentials การจัดการ Kernel และการติดตั้ง Ransomware

YDArk เข้าไปควบคุม Kernel-level callbacks เพื่อรักษาการซ่อนตัวอย่างต่อเนื่อง ในขณะที่ PowerRun เรียกใช้ ransomware payload ด้วยสิทธิ์ระดับ SYSTEM เต็มรูปแบบ

Mimikatz อ่านหน่วยความจำ LSASS เพื่อดึงข้อมูล Credentials ของผู้ดูแลระบบที่แคชไว้ ช่วยให้ผู้โจมตีทำให้สามารถโจมตีต่อไปภายในเครือข่ายได้

Unlock_IT ลบข้อมูลใน Registry และร่องรอยของการโจมตีเพื่อทำลายหลักฐาน ในขณะที่ AuKill ยุติ EDR Process ที่ยังหลงเหลืออยู่ทั้งหมด

เมื่อผ่านทั้งสองขั้นตอนนี้ สภาพแวดล้อมในระบบจะพร้อมสำหรับการเข้ารหัสไฟล์ขนาดใหญ่แบบเงียบ ๆ โดยไม่มีกลไกป้องกันใด ๆ เหลืออยู่

องค์กรควรบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) กับบัญชีผู้ใช้ที่มีสิทธิ์พิเศษทั้งหมด เปิดใช้งานการอนุญาตแอปพลิเคชัน เพื่อบล็อก Utilities ที่ไม่ได้รับอนุญาต และตรวจสอบคำสั่งยุติการทำงานที่น่าสงสัย เช่น sc stop, net stop และ taskkill อย่างสม่ำเสมอ

ทีมรักษาความปลอดภัยควรตรวจสอบการเปลี่ยนแปลงใน Registry ที่เกี่ยวข้องกับ antivirus และการตั้งค่าการเริ่มต้นระบบ จำกัดการเข้าถึงเครื่องมือการดูแลระบบระดับต่ำให้เฉพาะบุคลากรที่ได้รับการตรวจสอบแล้วเท่านั้น และฝึกอบรม SOC Analyst ให้สามารถรับรู้สัญญาณเริ่มต้นของการถูกทำให้ระบบป้องกันหยุดชะงัก

อุปกรณ์ที่ได้รับผลกระทบควรถูกแยกออกทันทีเพื่อป้องกันการแพร่กระจายไปยังส่วนอื่น ๆ และจำกัดผลกระทบกับองค์กร

ที่มา : cybersecuritynews

ในช่วงเวลากว่าหนึ่งปีที่ผ่านมา กลุ่มผู้โจมตีทางไซเบอร์ที่ส่วนใหญ่ใช้ภาษารัสเซีย ได้กำหนดเป้าหมายการโจมตีไปที่ฝ่ายทรัพยากรบุคคล (HR) โดยใช้มัลแวร์เป็นช่องทางในการแพร่กระจายโปรแกรมในลักษณะ EDR Killer ที่เพิ่งพัฒนาขึ้นใหม่ ซึ่งมีชื่อว่า BlackSanta

การโจมตีครั้งนี้ถูกจัดว่าเป็นการโจมตีที่มีความซับซ้อนสูงโดยใช้เทคนิค social engineering ผสมผสานกับการหลบเลี่ยงการตรวจจับขั้นสูง เพื่อเป้าหมายในการขโมยข้อมูลสำคัญจากระบบที่ตกเป็นเหยื่อ

แม้ว่าจะยังไม่สามารถระบุได้อย่างแน่ชัดถึงวิธีการเริ่มต้นของการโจมตี แต่จากการวิเคราะห์ของนักวิจัยจาก Aryaka ผู้ให้บริการโซลูชันด้านเครือข่าย และความปลอดภัยสันนิษฐานว่า มัลแวร์น่าจะถูกเผยแพร่ผ่านทางอีเมลประเภท spear-phishing (more…)

มีรายงานว่าผู้ไม่หวังดีกำลังประกาศขายช่องโหว่ Zero-day Exploit สำหรับการยกระดับสิทธิ์บน Windows Remote Desktop Services หมายเลข CVE-2026-21533 ในราคาที่สูงถึง 220,000 ดอลลาร์สหรัฐบน Dark web โดยช่องโหว่นี้มุ่งเป้าไปที่การจัดการสิทธิ์ที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถควบคุมระบบในระดับผู้ดูแลระบบได้

ในคอมมูนิตี้ Underground Cybersecurity พบรายการประกาศขายที่มีความเสี่ยงสูงบน Dark web โดยผู้ใช้งานชื่อว่า Kamirmassabi ซึ่งเพิ่งลงทะเบียนบัญชีเมื่อวันที่ 3 มีนาคม 2026 ได้ทำการโพสต์ประมูล Exploit สำหรับช่องโหว่ CVE-2026-21533 ในหมวดหมู่  [Virology] – malware, exploits, bundles, AZ, crypt (more…)

 

มัลแวร์ Gootloader ซึ่งปกติใช้เป็นเครื่องมือสำหรับการเข้าถึงระบบในเบื้องต้น ได้พัฒนาเทคนิคใหม่ในการหลบเลี่ยงการตรวจจับ โดยใช้ไฟล์ ZIP ที่มีโครงสร้างผิดปกติ ซึ่งเกิดจากการรวมไฟล์ archives เข้าด้วยกันสูงสุดถึง 1,000 ไฟล์ (more…)

Microsoft เปิดตัวฟีเจอร์ BitLocker ที่ใช้การเร่งความเร็วด้วยฮาร์ดแวร์ (Hardware-accelerated) ใน Windows 11 เพื่อตอบโจทย์ความกังวลด้านประสิทธิภาพ และความปลอดภัยที่เพิ่มขึ้น โดยอาศัยความสามารถของ Chip แบบ System-on-a-chip (SoC) และ CPU เข้ามาช่วย

(more…)

Google ได้ออกแพตช์อัปเดตเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day ของ Chrome ซึ่งกำลังถูกนำไปใช้ในการโจมตีแล้ว นับเป็นช่องโหว่ด้านความปลอดภัยคร้ังที่แปด ที่ได้รับการแก้ไขตั้งแต่ต้นปี

Google ระบุในประกาศด้านความปลอดภัย โดยระบุว่า "บริษัทรับทราบถึงการที่ช่องโหว่หมายเลข 466192044 กำลังถูกนำไปใช้ในการโจมตีจริงอยู่ในปัจจุบัน" (more…)

เทคนิค Social Engineering ที่กำลังเพิ่มขึ้นอย่างรวดเร็วที่เรียกว่า ClickFix กลายเป็นหนึ่งในวิธีการที่ประสบความสำเร็จมากที่สุดในการแพร่กระจายมัลแวร์ในช่วงไม่กี่เดือนที่ผ่านมา

(more…)

กลุ่มแฮ็กเกอร์ที่ถูกเชื่อมโยงกับรัฐบาลจีน กำลังใช้ประโยชน์จากช่องโหว่ Zero-day ของ Windows ในการโจมตีนักการทูตยุโรปในฮังการี เบลเยียม และประเทศอื่น ๆ ในยุโรป

จากข้อมูลของ Arctic Wolf Labs การโจมตีเริ่มต้นด้วยอีเมล spearphishing ที่นำไปสู่การส่งไฟล์ LNK ที่เป็นอันตราย ซึ่งมีเนื้อหาเกี่ยวกับการประชุมเชิงปฏิบัติการด้านการจัดซื้อจัดจ้างด้านกลาโหมของ NATO การประชุมอำนวยความสะดวกด้านพรมแดนของคณะกรรมาธิการยุโรป และกิจกรรมทางการทูตอื่น ๆ (more…)

Microsoft ประกาศยืนยันว่า เครื่องมือ Windows 11 Media Creation Tool (MCT) กลับมาใช้งานได้ตามปกติแล้ว บน Windows 10 เวอร์ชัน 22H2 และ Windows 11 เวอร์ชัน 25H2 (more…)