สรุปข่าวความปลอดภัยไซเบอร์รายสัปดาห์ อัปเดตภัยคุกคาม ช่องโหว่ และการละเมิดข้อมูลสำคัญ

ในโลกที่เชื่อมต่อถึงกัน ภัยคุกคามทางไซเบอร์มีความซับซ้อนและเกิดขึ้นบ่อยครั้ง การติดตามข้อมูลจึงเป็นสิ่งจำเป็น จดหมายข่าวรายสัปดาห์ของเราสรุปข่าวสารสำคัญ ความเห็นผู้เชี่ยวชาญ และเคล็ดลับที่เป็นประโยชน์ เพื่อช่วยให้คุณป้องกันข้อมูลและก้าวทันภัยคุกคาม

ฉบับนี้ เราจะเจาะลึกการโจมตีล่าสุด ช่องโหว่ความปลอดภัยที่ค้นพบใหม่ และการอัปเดตข้อกฎหมายที่ส่งผลกระทบต่อธุรกิจทั่วโลก โดยเน้นประเด็นสำคัญอย่างกลลวงขั้นสูง, การเพิ่มขึ้นของแรนซัมแวร์, รวมถึงช่องโหว่ในบริการคลาวด์และอุปกรณ์ IoT

เป้าหมายของเราคือช่วยให้คุณมองเห็นความเสี่ยงก่อนเกิดปัญหา พร้อมมอบคำแนะนำที่นำไปใช้ได้จริงเพื่อยกระดับความปลอดภัยและสร้างวัฒนธรรมการตระหนักรู้ในองค์กร

ไม่ว่าคุณจะทำงานด้านความปลอดภัย, ไอที, หรือเพียงต้องการป้องกันตัวเอง จดหมายข่าวนี้ได้รวบรวมข่าวสารที่จำเป็น ข้อมูลเชิงลึก และเคล็ดลับที่เข้าใจง่ายสำหรับทุกคน พร้อมอัปเดตเครื่องมือและเทคโนโลยีใหม่ๆ ที่น่าสนใจ

ขอบคุณที่ไว้วางใจให้เราเป็นแหล่งข้อมูล โปรดติดตามเนื้อหาและแบ่งปันความคิดเห็น เพราะการรู้ทันคือเกราะป้องกันภัยคุกคามออนไลน์ที่ดีที่สุดของคุณ

ภัยคุกคาม

1. แฮกเกอร์กำลังกำหนดเป้าหมายนักพัฒนา Python โดยการอัปโหลดแพ็คเกจที่เป็นอันตรายและกลายเป็นอาวุธไปยังคลังข้อมูล PyPI อย่างเป็นทางการ แพ็คเกจเหล่านี้อาจเข้าทำลายระบบของนักพัฒนาและอาจแพร่กระจายมัลแวร์ผ่านห่วงโซ่อุปทานซอฟต์แวร์
2. แอปอันตรายมากกว่า 20 รายการบน Google Play กำหนดเป้าหมายไปที่ผู้ใช้สกุลเงินดิจิทัล
   แคมเปญฟิชชิ่งแบบประสานงานถูกเปิดเผยขึ้น ซึ่งเกี่ยวข้องกับแอปอันตรายมากกว่า 20 รายการบน Google Play แอปเหล่านี้ปลอมตัวเป็นกระเป๋าเงินและการแลกเปลี่ยนสกุลเงินดิจิทัลที่ถูกต้องตามกฎหมายเพื่อขโมยข้อมูลประจำตัวกระเป๋าเงินของผู้ใช้ ผู้โจมตีใช้ประโยชน์จากบัญชีนักพัฒนาที่ถูกบุกรุก ซึ่งบางบัญชีมียอดดาวน์โหลดมากกว่า 100,000 ครั้ง ทำให้แอปเหล่านี้ดูน่าเชื่อถือ แคมเปญนี้กำหนดเป้าหมายไปที่แพลตฟอร์มต่างๆ เช่น SushiSwap, PancakeSwap, Hyperliquid และ Raydium และสร้างความเสี่ยงทางการเงินที่สำคัญต่อผู้ใช้
3. เพย์โหลดที่เป็นอันตรายซ่อนอยู่ในภาพ JPEG โดยใช้ Steganography
   นักวิจัยได้ค้นพบการโจมตีแบบใหม่ที่เพย์โหลดที่เป็นอันตรายถูกฝังไว้ในภาพ JPEG โดยใช้ Steganography เทคนิคนี้ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยแบบดั้งเดิมได้ด้วยการซ่อนมัลแวร์ไว้ในไฟล์ภาพที่ดูเหมือนไม่เป็นอันตราย
4. ปัจจุบันแรนซัมแวร์ BERT โจมตีเครื่อง Linux แล้ว
   แรนซัมแวร์ BERT ได้รับการพัฒนาจนสามารถโจมตีระบบ Linux ได้นอกเหนือจาก Windows การอัปเกรดนี้ทำให้ขอบเขตของแรนซัมแวร์ขยายกว้างขึ้นและเพิ่มความเสี่ยงให้กับองค์กรที่ใช้เซิร์ฟเวอร์ Linux
5. AsyncRAT ถูกส่งผ่านการแจ้งเตือนการยืนยันปลอม
   ผู้ก่อภัยคุกคามกำลังแพร่กระจายโทรจันการเข้าถึงระยะไกลของ AsyncRAT ผ่านการแจ้งเตือนการยืนยันที่หลอกลวง ผู้ใช้ที่ถูกหลอกให้โต้ตอบกับการแจ้งเตือนเหล่านี้อาจติดตั้งมัลแวร์โดยไม่รู้ตัว ทำให้ผู้โจมตีสามารถควบคุมระบบของตนจากระยะไกล
6. เอกสารวิจัยที่ดัดแปลงเป็นอาวุธจะส่งผลให้มีมัลแวร์
   อาชญากรไซเบอร์กำลังแจกจ่ายเอกสารวิจัยที่ดัดแปลงเป็นอาวุธ ซึ่งเมื่อดาวน์โหลดหรือเปิดเอกสารแล้วจะส่งมัลแวร์ไปยังเหยื่อ การโจมตีเหล่านี้มักจะมุ่งเป้าไปที่นักวิจัยและผู้เชี่ยวชาญที่แสวงหาทรัพยากรทางวิชาการ
7. โฆษณา PuTTY ที่กลายมาเป็นอาวุธถูกใช้เพื่อแพร่กระจายมัลแวร์
   ผู้โจมตีกำลังใช้ประโยชน์จากโฆษณาที่เป็นอันตรายสำหรับ PuTTY ซึ่งเป็นไคลเอนต์ SSH และ telnet ยอดนิยม เพื่อแพร่กระจายมัลแวร์ ผู้ใช้ที่ไม่สงสัยซึ่งกำลังค้นหาการดาวน์โหลด PuTTY มีความเสี่ยงที่จะดาวน์โหลดเวอร์ชันที่ถูกบุกรุก
8. การโจมตีทางอีเมลด้วย Microsoft Defender
   การโจมตีทางอีเมลด้วย Microsoft Defender แบบใหม่กำลังใช้ประโยชน์จากการแจ้งเตือนของ Microsoft Defender เพื่อโจมตีกล่องจดหมายของผู้ใช้และอาจปกปิดความพยายามฟิชชิ่งที่เจาะจงมากขึ้น
9. มัลแวร์ Supercard เข้ายึดครองโทรศัพท์ Android
   มัลแวร์ Supercard ตัวใหม่กำลังแพร่ระบาดไปยังอุปกรณ์ Android โดยใช้อุปกรณ์เหล่านี้ในการโจมตีเพิ่มเติมหรือขโมยข้อมูลสำคัญ มัลแวร์แพร่กระจายผ่านแอพที่ถูกบุกรุกและแคมเปญฟิชชิ่ง
10. ผู้ก่อภัยคุกคามทำให้ผลการค้นหาของ Google เสียหาย
    อาชญากรไซเบอร์กำลังบิดเบือนผลการค้นหาของ Google เพื่อนำผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย เทคนิค "การโจมตีผลการค้นหา" นี้เพิ่มโอกาสที่ผู้ใช้จะเข้าสู่หน้าฟิชชิ่งหรือหน้าที่มีมัลแวร์

การโจมตีทางไซเบอร์

การโจมตี DDoS ทำลายสถิติ 7.3 Tbps

Cloudflare สามารถลดการโจมตีแบบ Distributed Denial-of-Service (DDoS) ครั้งใหญ่ที่สุดเท่าที่เคยบันทึกไว้ได้สำเร็จ โดยโจมตีได้เร็วถึง 7.3 เทราบิตต่อวินาที การโจมตีซึ่งกินเวลาเพียง 45 วินาทีนี้กำหนดเป้าหมายไปที่ผู้ให้บริการโฮสติ้งและส่งทราฟฟิกขยะ 37.4 เทราไบต์จากที่อยู่ IP มากกว่า 122,000 รายการใน 161 ประเทศ เหตุการณ์นี้ถือเป็นการยกระดับทั้งในด้านขนาดและความซับซ้อน ซึ่งเน้นย้ำถึงภัยคุกคามที่เพิ่มขึ้นจากบอตเน็ตทั่วโลกและอุปกรณ์ IoT ที่มีความเสี่ยง

เครื่องมือใช้ประโยชน์จาก API Fortinet FortiGate ปรากฏบนเว็บมืด

ช่องโหว่ระดับซีโร่เดย์ที่สำคัญในผลิตภัณฑ์ Fortinet FortiOS และ FortiProxy กำลังถูกโจมตีอย่างต่อเนื่อง ช่องโหว่ดังกล่าวทำให้สามารถเรียกใช้โค้ดจากระยะไกลที่ไม่ได้รับการตรวจสอบผ่านอินเทอร์เฟซ SSL VPN ซึ่งอาจทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ได้รับผลกระทบได้อย่างเต็มที่ ผู้ก่อภัยคุกคามกำลังขายเครื่องมือหาช่องโหว่ในฟอรัมเว็บมืด และองค์กรที่ใช้ผลิตภัณฑ์ Fortinet ควรรีบแก้ไขโดยด่วน

เซิร์ฟเวอร์สร้างภาพ AI ของ ComfyUI มากกว่า 700 แห่งถูกบุกรุก

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่สำคัญใน ComfyUI ซึ่งเป็นกรอบงานสร้างภาพ AI ยอดนิยม โดยโจมตีเซิร์ฟเวอร์อย่างน้อย 695 แห่งทั่วโลก ผู้โจมตีใช้แบ็คดอร์ที่เรียกว่า "Pickai" เพื่อขโมยข้อมูลที่ละเอียดอ่อน ดำเนินการคำสั่งระยะไกล และสร้างการเข้าถึงแบบต่อเนื่อง แคมเปญนี้เน้นย้ำถึงความเสี่ยงที่เพิ่มขึ้นสำหรับองค์กรที่ใช้โครงสร้างพื้นฐาน AI โดยไม่มีการควบคุมความปลอดภัยที่แข็งแกร่ง

แคมเปญฟิชชิ่งใช้ประโยชน์จากแพลตฟอร์มโฮสติ้ง Vercel

ผู้ก่อภัยคุกคามกำลังใช้ Vercel ซึ่งเป็นบริการโฮสติ้งฝั่งฟรอนต์เอนด์ที่เชื่อถือได้ในทางที่ผิด เพื่อแจกจ่ายเครื่องมือการเข้าถึงระยะไกล LogMeIn ที่เป็นอันตราย ผู้ใช้กว่า 1,200 รายตกเป็นเป้าหมายของอีเมลฟิชชิ่งที่นำไปสู่หน้าเว็บที่โฮสต์โดย Vercel ซึ่งหลอกลวงเหยื่อให้ติดตั้งมัลแวร์ที่ปลอมตัวเป็นเอกสารที่ถูกต้องตามกฎหมาย แคมเปญนี้แสดงให้เห็นถึงการใช้แพลตฟอร์มที่ถูกต้องตามกฎหมายที่เพิ่มมากขึ้นเพื่อหลีกเลี่ยงการตรวจจับและเพิ่มผลกระทบของการโจมตีแบบฟิชชิ่ง

กลุ่ม Ransomware Qilin นำเทคนิคโหลดขั้นสูงมาใช้

กลุ่มแรนซัมแวร์ Qilin (Agenda) ได้ปรับปรุงวิธีการโจมตีด้วยการผสานรวมโปรแกรมโหลดที่ซับซ้อน เช่น NETXLOADER และ SmokeLoader เครื่องมือเหล่านี้ใช้กลวิธีบดบังและซ่อนเร้นขั้นสูง ทำให้สามารถเรียกใช้เพย์โหลดแรนซัมแวร์ในหน่วยความจำและหลบเลี่ยงเครื่องมือรักษาความปลอดภัยได้ การที่ Qilin เลือกใช้ Rust ในการพัฒนาทำให้ความสามารถในการแพร่กระจายภายในสภาพแวดล้อมเสมือนจริงและกำหนดเป้าหมายองค์กรที่มีมูลค่าสูงดีขึ้น

WormGPT Variants เข้ายึดครองโมเดล AI เชิงพาณิชย์

WormGPT ซึ่งเป็นเครื่องมือ AI ที่เป็นอันตรายอย่างฉาวโฉ่ ได้กลับมาปรากฏตัวอีกครั้งในรูปแบบของแรปเปอร์ที่เข้ายึดครองโมเดลภาษาขนาดใหญ่ (LLM) ที่ถูกต้องตามกฎหมาย เช่น Grok ของ xAI และ Mixtral ของ Mistral AI โดยการเจลเบรกโมเดลเหล่านี้ผ่านการจัดการอย่างรวดเร็ว ผู้คุกคามสามารถหลีกเลี่ยงแนวป้องกันความปลอดภัยเพื่อสร้างอีเมลฟิชชิ่งและสคริปต์มัลแวร์ วิวัฒนาการนี้ลดอุปสรรคในการก่ออาชญากรรมทางไซเบอร์ ทำให้ผู้โจมตีสามารถนำแพลตฟอร์ม AI เชิงพาณิชย์มาใช้เป็นอาวุธด้วยความพยายามเพียงเล็กน้อย

ช่องโหว่

1. Citrix NetScaler ADC & Gateway: ข้อบกพร่องร้ายแรงทำให้ข้อมูลรั่วไหล
   จุดอ่อนร้ายแรงสองจุด (CVE-2025-5349, CVE-2025-5777) ใน NetScaler ADC and Gateway อาจทำให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนหรือทำลายความปลอดภัยของเครือข่ายได้ องค์กรทั้งหมดที่ใช้เวอร์ชันที่ได้รับผลกระทบควรอัปเดตทันที โดยเฉพาะอย่างยิ่งเนื่องจากเวอร์ชันเก่าบางเวอร์ชันที่ใกล้หมดอายุแล้วยังไม่ได้รับการแก้ไข

2. การเพิ่มระดับสิทธิ์ของเคอร์เนล Linux: การใช้ประโยชน์อย่างแพร่หลาย ข้อบกพร่องใน
   การใช้งานหลังจากปลดปล่อยแล้ว (CVE-2024-1086) ในส่วนประกอบ netfilter ของ Linux ทำให้ผู้โจมตีในพื้นที่สามารถยกระดับสิทธิ์เป็น root และรันโค้ดตามอำเภอใจได้ ช่องโหว่นี้ถูกใช้ประโยชน์อย่างต่อเนื่อง และมีแพตช์สำหรับเคอร์เนลเวอร์ชันหลักทั้งหมด ขอแนะนำให้ทำการอัปเดตทันที

3. Google Chrome: ช่องโหว่ Zero-Day หลายรายการได้รับการแก้ไขแล้ว
   Google ปล่อยอัปเดตด่วนสำหรับ Chrome โดยแก้ไขช่องโหว่สำคัญหลายรายการ รวมถึง CVE-2025-5419 (ช่องโหว่ Zero-day ที่ถูกโจมตีในเอ็นจิ้น V8) และ CVE-2025-4664 (การเลี่ยงการบังคับใช้นโยบาย) ขอแนะนำให้ผู้ใช้และองค์กรอัปเดตเป็นเวอร์ชัน 137.0.7151.68/.69 หรือใหม่กว่า

4. Apache SeaTunnel: RCE และการอ่านไฟล์ที่ไม่ได้รับการตรวจสอบ
   ข้อบกพร่องร้ายแรง (CVE-2025-32896) ใน Apache SeaTunnel ทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสามารถอ่านไฟล์โดยสุ่มและเรียกใช้โค้ดจากระยะไกลผ่านจุดสิ้นสุด API REST รุ่นเก่า ผู้ใช้ควรอัปเกรดเป็นเวอร์ชัน 2.3.11 หรือใหม่กว่าและรักษาความปลอดภัยจุดสิ้นสุด API

5. OpenVPN: การปฏิเสธการให้บริการและ RCE ที่อาจเกิดขึ้น
   OpenVPN เวอร์ชัน 2.6.1 ถึง 2.6.13 (พร้อมเปิดใช้งาน –tls-crypt-v2) มีความเสี่ยงต่อการโจมตีที่อาจทำให้เซิร์ฟเวอร์ล่มและอาจนำไปสู่การใช้ประโยชน์เพิ่มเติมได้ ปัญหาได้รับการแก้ไขแล้วในเวอร์ชัน 2.6.14

6. การเพิ่มสิทธิ์ของ Linux: เทคนิคการโจมตีทั่วไป
   ผู้โจมตียังคงใช้ประโยชน์จากบริการที่กำหนดค่าไม่ถูกต้อง ไบนารี SUID ที่มีช่องโหว่ และสิทธิ์ sudo ที่ไม่เหมาะสมเพื่อยกระดับสิทธิ์บนระบบ Linux ทีมงานด้านความปลอดภัยควรตรวจสอบสิทธิ์ของผู้ใช้และการกำหนดค่าระบบเป็นประจำ

7. การโจมตีด้วยการรีเซ็ตรหัสผ่าน
   เวกเตอร์การโจมตีใหม่กำหนดเป้าหมายไปที่ฟังก์ชันการรีเซ็ตรหัสผ่านของแอปพลิเคชันบนเว็บ ทำให้ผู้โจมตีสามารถแฮ็กคำขอรีเซ็ตรหัสผ่านและเจาะบัญชีได้ องค์กรต่างๆ ควรตรวจสอบและเสริมความแข็งแกร่งให้กับเวิร์กโฟลว์การรีเซ็ต

8. Cisco AnyConnect VPN: ช่องโหว่เปิดเผยเซิร์ฟเวอร์
   ช่องโหว่ที่เพิ่งเปิดเผยในเซิร์ฟเวอร์ Cisco AnyConnect VPN อาจทำให้ผู้โจมตีสามารถเจาะระบบการเข้าถึงระยะไกลได้ แนะนำให้ทำการแพตช์ทันทีสำหรับระบบที่เปิดเผยทั้งหมด

การละเมิดข้อมูล

1. การละเมิดข้อมูลของ Zoomcar ทำให้ผู้ใช้กว่า 8.4 ล้านรายต้องตกเป็นเหยื่อ
   แพลตฟอร์มแชร์รถ Zoomcar ของอินเดียได้ยืนยันการละเมิดข้อมูลที่สำคัญซึ่งส่งผลกระทบต่อผู้ใช้ประมาณ 8.4 ล้านคน การละเมิดดังกล่าวถูกค้นพบเมื่อวันที่ 9 มิถุนายน 2025 หลังจากที่พนักงานได้รับข้อความจากแฮกเกอร์ที่อ้างว่าได้ขโมยข้อมูลของบริษัทไป ข้อมูลที่เปิดเผย ได้แก่ ชื่อของผู้ใช้ หมายเลขโทรศัพท์ หมายเลขทะเบียนรถ ที่อยู่บ้าน และที่อยู่อีเมล แม้ว่าปัจจุบันจะไม่มีหลักฐานว่าข้อมูลทางการเงินหรือรหัสผ่านถูกรั่วไหล แต่ข้อมูลที่ถูกบุกรุกอาจใช้เพื่อการฟิชชิ่งแบบกำหนดเป้าหมายและการฉ้อโกงข้อมูลประจำตัวได้ ขณะนี้ขอบเขตและวิธีการทั้งหมดของการโจมตีดังกล่าวยังอยู่ระหว่างการสอบสวน

2. นักข่าวของวอชิงตันโพสต์ตกเป็นเป้าหมายการแฮ็กอีเมลที่เกี่ยวข้องกับรัฐ
   หนังสือพิมพ์ The Washington Post กำลังสืบสวนการโจมตีทางไซเบอร์แบบมีเป้าหมายที่ส่งผลกระทบต่อบัญชีอีเมลของ Microsoft ของนักข่าวหลายคน โดยเฉพาะอย่างยิ่งนักข่าวที่รายงานเกี่ยวกับความมั่นคงแห่งชาติ นโยบายเศรษฐกิจ และจีน การโจมตีดังกล่าวซึ่งค้นพบเมื่อวันที่ 12 มิถุนายน 2025 เชื่อว่าเป็นผลงานของบุคคลจากต่างประเทศ โดยมีสัญญาณเบื้องต้นบ่งชี้ว่าจีนมีส่วนเกี่ยวข้อง แฮกเกอร์สามารถเข้าถึงอีเมลที่ส่งและรับได้ แต่ไม่มีหลักฐานว่าข้อมูลของลูกค้าหรือระบบภายในอื่นๆ ได้รับผลกระทบ การโจมตีดังกล่าวใช้ประโยชน์จากช่องโหว่ในโปรโตคอลการตรวจสอบสิทธิ์ของ Microsoft โดยอาจใช้การฟิชชิ่งและช่องโหว่แบบซีโร่เดย์เพื่อหลีกเลี่ยงการตรวจสอบสิทธิ์แบบหลายปัจจัย การโจมตีครั้งนี้เน้นย้ำถึงภัยคุกคามของการจารกรรมต่อองค์กรสื่อที่ยังคงดำเนินอยู่

3. การรั่วไหลครั้งประวัติศาสตร์ รหัสผ่าน 16 พันล้านรหัสถูกเปิดเผยทางออนไลน์
   นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยการละเมิดข้อมูลประจำตัวครั้งใหญ่ที่สุดในประวัติศาสตร์ โดยมีข้อมูลการเข้าสู่ระบบมากกว่า 16,000 ล้านรายการรั่วไหลทางออนไลน์ ข้อมูลที่รวบรวมจากชุดข้อมูลแยกกัน 30 ชุด ประกอบไปด้วยชื่อผู้ใช้และรหัสผ่านสำหรับแพลตฟอร์มหลัก เช่น Google, Apple, Facebook, GitHub, Telegram และแม้แต่พอร์ทัลของรัฐบาล การรั่วไหลดังกล่าวเกิดจากมัลแวร์ขโมยข้อมูล ไม่ใช่การละเมิดของบริษัทโดยตรง และประกอบด้วยข้อมูลประจำตัวใหม่ที่สามารถใช้ประโยชน์ได้สูงเป็นหลัก ผู้เชี่ยวชาญเตือนว่า "พิมพ์เขียวสำหรับการใช้ประโยชน์ในวงกว้าง" นี้อาจนำไปสู่การฟิชชิ่ง การยึดบัญชี และการขโมยข้อมูลประจำตัวอย่างแพร่หลาย ผู้ใช้ควรตรวจสอบว่าบัญชีของตนได้รับผลกระทบหรือไม่ และให้ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำใคร รวมถึงการตรวจสอบสิทธิ์หลายปัจจัย

ที่มา https://cybersecuritynews.com/weekly-cybersecurity-news-recap/

💬Line: @monsteronline
☎️Tel: 02-026-6664
📩Email: sales@mon.co.th