มีการตรวจพบช่องโหว่ระดับ Critical ประเภท Zero-click Authentication coercion หมายเลข CVE-2026-32202 ซึ่งมีสาเหตุมาจากแพตซ์ที่ไม่สมบูรณ์ ในฟีเจอร์ความปลอดภัยของ Windows Shell โดยช่องโหว่นี้ถูกกลุ่ม APT28 จากรัสเซียนำไปใช้เป็นเครื่องมือในการโจมตีทางไซเบอร์อย่างต่อเนื่อง (more…)

 

ช่องโหว่ด้านความปลอดภัยที่เพิ่งมีการเปิดเผยใน Nessus Agent บน Windows ของ Tenable ซึ่งมีช่องโหว่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ระดับสูงสุดของระบบได้ สร้างความกังวลให้กับทีมรักษาความปลอดภัยระดับองค์กรที่ต้องพึ่งพาแพลตฟอร์มประเมินช่องโหว่ที่มีการใช้งานอย่างแพร่หลายนี้

(more…)

พบช่องโหว่ด้านความปลอดภัยระดับความรุนแรงสูงในโมดูล asyncio ของ Python บน Windows ซึ่งผู้โจมตีสามารถทำให้เกิด Out-of-Bounds Write ของหน่วยความจำที่จัดสรรไว้ได้

ช่องโหว่นี้มีหมายเลข CVE-2026-3298 โดย Seth Larson นักพัฒนาด้านความปลอดภัยของ Python ได้เผยแพร่ช่องโหว่ออกสู่สาธารณะเมื่อวันที่ 21 เมษายน 2026 ผ่านช่องทางแจ้งข่าวความปลอดภัยของ Python เอง

ช่องโหว่นี้อยู่ใน sock_recvfrom_into() method ภายใต้ asyncio.

Microsoft กำลังเร่งตรวจสอบปัญหาที่ได้รับรายงาน ซึ่งส่งผลให้ผู้ใช้บางส่วนที่ใช้งานบนระบบปฏิบัติการ Windows ไม่สามารถเข้าร่วมการประชุม Microsoft Teams ได้ หลังจากมีการอัปเดตเบราว์เซอร์ Microsoft Edge เวอร์ชันล่าสุด โดยปัญหาดังกล่าวจะเกิดขึ้นเมื่อผู้ใช้พยายามเข้าถึงการประชุมที่กำหนดไว้ล่วงหน้า หรือเข้าร่วมผ่านลิงก์การประชุมที่ถูกแชร์มา ซึ่งเป็นสองช่องทางการเข้าใช้งานที่พบบ่อยที่สุดในเวิร์กโฟลว์การทำงานร่วมกันในองค์กร ทำให้ส่งผลกระทบต่อองค์กรต่าง ๆ รวมถึงองค์กรที่ใช้โครงสร้างพื้นฐานของ NHSmail (more…)

 

PhantomRPC คือช่องโหว่เชิงสถาปัตยกรรมที่เพิ่งถูกค้นพบใหม่ใน Windows Remote Procedure Call (RPC) ซึ่งทำให้สามารถยกระดับสิทธิ์จากผู้ใช้ทั่วไปขึ้นไปเป็นสิทธิ์ระดับ SYSTEM-level โดยอาจส่งผลกระทบต่อ Windows ทุกเวอร์ชัน

(more…)

Windows Defender ถูกติดตั้ง และเปิดใช้งานเป็นค่าเริ่มต้นใน Windows ทุกเครื่อง โดยทำงานด้วยสิทธิ์ระดับสูงสุด (SYSTEM) เพื่อให้สามารถตรวจสอบไฟล์ และจัดการภัยคุกคามได้อย่างครอบคลุม ซึ่งสิทธิ์ระดับที่ 'แตะต้องได้ทุกอย่าง' นี้เอง คือหัวใจสำคัญที่ทำให้แอนติไวรัสทำงานได้จริง แต่ในขณะเดียวกันความไว้วางใจดังกล่าวนั้นกลับกลายเป็นจุดอ่อนที่สามารถถูกนำมาใช้โจมตีได้เช่นกัน (more…)

CISA แจ้งเตือนหน่วยงานรัฐบาลสหรัฐฯ ให้รักษาความปลอดภัยระบบของตนเพื่อป้องกันช่องโหว่ Privilege Escalation บน Windows Task Host ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM ได้ (more…)

กลุ่มแฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Windows จำนวน 3 รายการที่เพิ่งถูกเปิดเผย เพื่อใช้ในการโจมตีโดยมีวัตถุประสงค์เพื่อยกระดับสิทธิ์เป็นระดับ SYSTEM หรือระดับผู้ดูแลระบบ (more…)

การโจมตีด้วย Ransomware ก้าวล้ำไปไกลกว่าเพียงแค่การใช้โค้ดที่เป็นอันตรายแบบธรรมดา ปัจจุบันผู้โจมตีดำเนินการด้วยความแม่นยำราวกับธุรกิจที่มีการวางแผนมาอย่างดี โดยการใช้เครื่องมือที่น่าเชื่อถือของ Windows เข้ามาทำลายระบบป้องกันอย่างเงียบ ๆ ก่อนที่ Ransomware จะเริ่มเข้ามามีบทบาท

การเปลี่ยนแปลงในครั้งนี้ ทำให้การโจมตีด้วย Ransomware สมัยใหม่ตรวจจับได้ยากขึ้น และสร้างความเสียหายได้รุนแรงกว่าเดิมเป็นอย่างมาก

เครื่องมือที่เป็นหัวใจสำคัญของภัยคุกคามนี้ไม่ได้ถูกออกแบบมาเพื่อการก่ออาชญากรรม แต่เป็น Utilities เช่น Process Hacker, IOBit Unlocker, PowerRun และ AuKill ซึ่งเดิมทีถูกสร้างขึ้นมาเพื่อให้ทีม IT ใช้จัดการกระบวนการปลดล็อกไฟล์ และแก้ไขปัญหาของระบบในเวลาปกติ

ผู้โจมตีได้นำเครื่องมือเหล่านี้มาดัดแปลงวัตถุประสงค์เพื่อปิดการทำงานของโปรแกรม Antivirus และซอฟต์แวร์ Endpoint Detection and Response (EDR) อย่างเงียบ ๆ ก่อนที่จะเรียกใช้งาน Ransomware

เนื่องจากเครื่องมือเหล่านี้มี digital signed และมีการใช้งานแพร่หลายในสภาพแวดล้อมระดับองค์กร ระบบรักษาความปลอดภัยส่วนใหญ่จึงถือว่าเป็นการจัดการตามปกติ ซึ่งทิ้งร่องรอยไว้น้อยมาก

นักวิจัยจาก Seqrite ได้ระบุถึงรูปแบบที่กำลังเติบโตนี้ และตั้งข้อสังเกตว่าการใช้เครื่องมือ Low-level ที่ถูกต้องในทางที่ผิด ซึ่งได้กลายเป็นเอกลักษณ์สำคัญของการโจมตีด้วย Ransomware ในปัจจุบัน ตั้งแต่ LockBit 3.0 และ BlackCat ไปจนถึง Dharma, Phobos และ MedusaLocker

งานวิจัยแสดงให้เห็นว่า กลุ่มผู้โจมตีเหล่านี้ไม่ได้พึ่งพาเพียงแค่มัลแวร์ที่เขียนขึ้นมาเองเท่านั้น แต่พวกเขายังทำการศึกษาเป้าหมายอย่างละเอียด ระบุจุดอ่อนด้านความปลอดภัย และใช้เครื่องมือที่สร้างขึ้นเพื่อรักษาความปลอดภัยของระบบเป็นอาวุธ

การปิดการทำงานของ antivirus ไม่ใช่ขั้นตอนรอง แต่เป็นส่วนสำคัญที่ถูกวางแผนมาอย่างจงใจ เพราะเมื่อซอฟต์แวร์รักษาความปลอดภัยยังทำงานอยู่ มันจะสามารถบล็อกไฟล์อันตรายขณะรันโปรแกรม ตรวจจับพฤติกรรมการเข้ารหัสข้อมูลที่ผิดปกติ และแจ้งเตือนทีมรักษาความปลอดภัยได้แบบเรียลไทม์

โดยการปิดระบบป้องกันเหล่านี้ก่อน ผู้โจมตีจะสร้างช่องทางเงียบ ๆ ที่ Ransomware สามารถทำงานได้อย่างอิสระ และไม่ถูกขัดจังหวะ

กลยุทธ์นี้มีการพัฒนาอย่างก้าวกระโดดในช่วงหลายปีที่ผ่านมา จาก Command-line scripts พื้นฐาน ที่ใช้ในภัยคุกคามยุคแรก ๆ เช่น CryptoLocker และ WannaCry ไปสู่การจัดการ Driver ระดับ Kernel ที่พบในแคมเปญ Conti และ LockBit 2.0 และในปัจจุบันคือ Antivirus killer modules แบบสำเร็จรูปที่ฝังอยู่ใน Ransomware-as-a-Service (RaaS) โดยตรง

ขอบเขตของภัยคุกคามนี้ครอบคลุมองค์กรทุกขนาด ตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรขนาดใหญ่ โดยเส้นทางการโจมตีมักจะเป็นไปตามลำดับขั้นตอนที่จงใจใช้เครื่องมือที่น่าเชื่อถือในทุกระดับเพื่อหลบเลี่ยงการตรวจจับ

การใช้ประโยชน์จากเครื่องมือ Windows แบบ 2 ขั้นตอน

เมื่อผู้โจมตีสามารถเจาะเข้าสู่ระบบได้แล้ว พวกเขาจะดำเนินกระบวนการ 2 ขั้นตอน เพื่อจัดการกับระบบความปลอดภัยอย่างเป็นระบบก่อนที่ Ransomware จะเริ่มทำงาน

ในขั้นตอนแรกนี้ เป้าหมายคือการทำให้ Antivirus ใช้งานไม่ได้ และการยกระดับสิทธิ์เครื่องมืออย่าง IOBit Unlocker เพื่อลบไฟล์ Binaries ของ Antivirus โดยใช้ API NtUnlockFile ในขณะที่ TDSSKiller เดิมเป็นเครื่องมือลบ Rootkit แต่ถูกนำมาใช้ในการ Unload Driver ของ Antivirus ออกจาก Kernel เพื่อไม่ให้ระบบป้องกันโหลดกลับมาใหม่ได้

Process Hacker จะยุติ Process ของ Antivirus โดยใช้ช่องโหว่ SeDebugPrivilege และ Atool_ExperModel เพื่อลบค่า Registry ที่ใช้ในการเริ่มระบบของ Antivirus รวมถึงลบ Scheduled Tasks เพื่อตัดวงจรการกู้คืนระบบป้องกัน

ขั้นตอนที่สองเป็นขั้นตอนที่การโจมตีมีความอันตรายที่สุด เมื่อซอฟต์แวร์รักษาความปลอดภัยถูกทำให้หยุดทำงานแล้ว ผู้โจมตีจะเปลี่ยนเป้าหมายไปที่การขโมยข้อมูล Credentials การจัดการ Kernel และการติดตั้ง Ransomware

YDArk เข้าไปควบคุม Kernel-level callbacks เพื่อรักษาการซ่อนตัวอย่างต่อเนื่อง ในขณะที่ PowerRun เรียกใช้ ransomware payload ด้วยสิทธิ์ระดับ SYSTEM เต็มรูปแบบ

Mimikatz อ่านหน่วยความจำ LSASS เพื่อดึงข้อมูล Credentials ของผู้ดูแลระบบที่แคชไว้ ช่วยให้ผู้โจมตีทำให้สามารถโจมตีต่อไปภายในเครือข่ายได้

Unlock_IT ลบข้อมูลใน Registry และร่องรอยของการโจมตีเพื่อทำลายหลักฐาน ในขณะที่ AuKill ยุติ EDR Process ที่ยังหลงเหลืออยู่ทั้งหมด

เมื่อผ่านทั้งสองขั้นตอนนี้ สภาพแวดล้อมในระบบจะพร้อมสำหรับการเข้ารหัสไฟล์ขนาดใหญ่แบบเงียบ ๆ โดยไม่มีกลไกป้องกันใด ๆ เหลืออยู่

องค์กรควรบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) กับบัญชีผู้ใช้ที่มีสิทธิ์พิเศษทั้งหมด เปิดใช้งานการอนุญาตแอปพลิเคชัน เพื่อบล็อก Utilities ที่ไม่ได้รับอนุญาต และตรวจสอบคำสั่งยุติการทำงานที่น่าสงสัย เช่น sc stop, net stop และ taskkill อย่างสม่ำเสมอ

ทีมรักษาความปลอดภัยควรตรวจสอบการเปลี่ยนแปลงใน Registry ที่เกี่ยวข้องกับ antivirus และการตั้งค่าการเริ่มต้นระบบ จำกัดการเข้าถึงเครื่องมือการดูแลระบบระดับต่ำให้เฉพาะบุคลากรที่ได้รับการตรวจสอบแล้วเท่านั้น และฝึกอบรม SOC Analyst ให้สามารถรับรู้สัญญาณเริ่มต้นของการถูกทำให้ระบบป้องกันหยุดชะงัก

อุปกรณ์ที่ได้รับผลกระทบควรถูกแยกออกทันทีเพื่อป้องกันการแพร่กระจายไปยังส่วนอื่น ๆ และจำกัดผลกระทบกับองค์กร

ที่มา : cybersecuritynews

ในช่วงเวลากว่าหนึ่งปีที่ผ่านมา กลุ่มผู้โจมตีทางไซเบอร์ที่ส่วนใหญ่ใช้ภาษารัสเซีย ได้กำหนดเป้าหมายการโจมตีไปที่ฝ่ายทรัพยากรบุคคล (HR) โดยใช้มัลแวร์เป็นช่องทางในการแพร่กระจายโปรแกรมในลักษณะ EDR Killer ที่เพิ่งพัฒนาขึ้นใหม่ ซึ่งมีชื่อว่า BlackSanta

การโจมตีครั้งนี้ถูกจัดว่าเป็นการโจมตีที่มีความซับซ้อนสูงโดยใช้เทคนิค social engineering ผสมผสานกับการหลบเลี่ยงการตรวจจับขั้นสูง เพื่อเป้าหมายในการขโมยข้อมูลสำคัญจากระบบที่ตกเป็นเหยื่อ

แม้ว่าจะยังไม่สามารถระบุได้อย่างแน่ชัดถึงวิธีการเริ่มต้นของการโจมตี แต่จากการวิเคราะห์ของนักวิจัยจาก Aryaka ผู้ให้บริการโซลูชันด้านเครือข่าย และความปลอดภัยสันนิษฐานว่า มัลแวร์น่าจะถูกเผยแพร่ผ่านทางอีเมลประเภท spear-phishing (more…)