
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานผู้ไม่หวังดีกำลังใช้ช่องโหว่ระดับวิกฤต หมายเลข CVE-2026-41089 ใน Windows Netlogon ทำการโจมตีระบบอย่างต่อเนื่อง (Active Exploitation) เหตุการณ์นี้ส่งผลให้เกิดความเสี่ยงขั้นสูง เนื่องจากผู้โจมตีสามารถยึดครองระบบ Active Directory ได้ทั้งหมดโดยไม่ต้องมีรหัสผ่าน ผลกระทบโดยตรงจะเกิดกับทุกองค์กรที่มีการใช้งาน Windows Server เป็น Domain Controller และยังไม่ได้ทำการอัปเดตแพตช์รักษาความปลอดภัย [1]
ทั้งนี้ หน่วยงานสามารถตรวจสอบข้อมูลเพิ่มเติมได้ที่ https://dg.th/x7al8id2ft
พฤติกรรมการโจมตี
ผู้โจมตีสามารถเจาะระบบได้โดยการส่งคำขอเครือข่ายที่ถูกสร้างขึ้นมาเป็นพิเศษ (Specially Crafted Network Request)ไปยังบริการ Netlogon บนระบบ Windows Server ที่ทำหน้าที่เป็น Domain Controller เพื่อกระตุ้นให้เกิดข้อผิดพลาดในการประมวลผลข้อมูล ส่งผลให้เกิดช่องโหว่ประเภท Buffer Overflow ภายในหน่วยความจำของระบบ โดยไม่ต้องใช้บัญชีผู้ใช้งานหรือสิทธิ์การเข้าถึงใด ๆ ภายในระบบ หากเจาะระบบสำเร็จ ผู้โจมตีจะสามารถสั่งรันโค้ดอัตรายที่สร้างขึ้นเอง (Arbitrary Code Execution) ด้วยสิทธิ์ของระบบบน Domain Controller ส่งผลให้สามารถเข้าควบคุมโดเมน ยกระดับสิทธิ์บัญชีผู้ใช้งาน ขโมยหรือทำลายข้อมูลสำคัญ รวมถึงสามารถติดตั้งมัลแวร์ เพื่อขยายผลการโจมตีไปยังระบบอื่น ๆ ภายในเครือข่ายขององค์กรได้
ผลกระทบที่อาจเกิดขึ้น
3.1 ผู้โจมตีสามารถรันคำสั่งหรือโปรแกรมบนเครื่อง Domain Controller ได้
3.2 ได้รับสิทธิ์ระดับ SYSTEM ซึ่งเป็นสิทธิ์สูงสุดของระบบปฏิบัติการ Windows Server
3.3 เข้าถึง แก้ไข หรือทำลายข้อมูลสำคัญขององค์กร
3.4 ยึดครอง Active Directory และบัญชีผู้ใช้งานภายในโดเมน
3.5 ติดตั้งมัลแวร์ หรือ Backdoor เพิ่มเติม
แนวทางการป้องกันและลดความเสี่ยง
4.1 ติดตั้งแพตช์ความปลอดภัยจาก Microsoft
4.2 ตรวจสอบ Domain Controller ภายในองค์กร
4.3 จำกัดการเข้าถึงบริการ Netlogon
5.มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
5.1 จำกัดการเข้าถึง Domain Controller เช่น ปิดกั้นการเข้าถึงจากเครือข่ายที่ไม่เกี่ยวข้อง เป็นต้น
5.2 แยก Domain Controller ออกจากเครือข่ายผู้ใช้งานทั่วไป
5.3 จำกัดการสื่อสารระหว่าง VLAN หรือ Security Zone เฉพาะที่จำเป็น
5.4 จำกัดและตรวจสอบบัญชีสิทธิ์สูง เช่น ลดจำนวนผู้ใช้งานที่มีสิทธิ์ระดับสูงให้น้อยที่สุด, เปิดใช้งาน Multi-Factor Authentication (MFA) เป็นต้น

แหล่งอ้างอิง
[1] https://dg.th/h6439ag50y
[2] https://dg.th/e7op9w6z8k
Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) จำนวน 11 รายการ เมื่อวันที่ 28 พฤษภาคม 2569 เพื่อให้ข้อมูลที่ทันเวลาเกี่ยวกับประเด็นด้านความมั่นคงปลอดภัย ช่องโหว่ และการโจมตีที่เกี่ยวข้องกับระบบ ICS โดยมีรายละเอียดดังนี้
CISA แนะนำให้ผู้ใช้งานและผู้ดูแลระบบ ตรวจสอบคำแนะนำ ICS ที่เผยแพร่ล่าสุด เพื่อศึกษารายละเอียดทางเทคนิคและแนวทางการลดความเสี่ยง (mitigations)
เมื่อวันที่ 1 มิถุนายน 2569 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 1 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้
ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต
อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/06/01/cisa-adds-one-known-exploited-vulnerability-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบแคมเปญหลอกลวงผ่านเว็บไซต์ปลอมที่แอบอ้างเป็นหน้าดาวน์โหลด ChatGPT ของ OpenAI โดยใช้โดเมน openew[.]app เพื่อหลอกให้ผู้ใช้งานดาวน์โหลดไฟล์ติดตั้งปลอมสำหรับ Windows และ macOS หากผู้ใช้งานติดตั้งไฟล์ดังกล่าว อุปกรณ์อาจติดมัลแวร์ที่สามารถข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลเบราว์เซอร์ cookies session ข้อมูลกระเป๋าเงินคริปโทเคอร์เรนซี และข้อมูลอื่น ๆ ได้ [1]
รายละเอียดภัยคุกคาม
ผู้ไม่ประสงค์ดีได้สร้างเว็บไซต์ปลอมโดยใช้โดเมน openew[.]app ซึ่งมีการออกแบบหน้าตาและปุ่มดาวน์โหลดให้คล้ายคลึงกับหน้าเว็บไซต์ทางการของ OpenAI นอกจากนี้ยังมีการใช้โปรโตคอลความปลอดภัย (HTTPS) เพื่อให้เบราว์เซอร์แสดงสัญลักษณ์รูปแม่กุญแจ แต่ความจริงแล้วเว็บไซต์ดังกล่าวเป็นเว็บไซต์ที่ไม่ปลอดภัย เป้าหมายของแคมเปญนี้คือการใช้ความนิยมของ ChatGPT และพฤติกรรมผู้ใช้งานที่ค้นหาคำว่า “ChatGPT download” ผ่าน search engine โฆษณา หรือแหล่งที่ไม่เป็นทางการ เพื่อหลอกให้ดาวน์โหลดมัลแวร์
ลักษณะการโจมตี
2.1 การโจมตีบนระบบปฏิบัติการ Windows มัลแวร์จะแฝงมาในรูปแบบไฟล์ติดตั้ง (Chat_GPT.exe) เมื่อถูกเรียกใช้งาน มัลแวร์จะสร้างไฟล์และเปิดใช้งานโปรแกรมจัดการคำสั่ง (PowerShell) เพื่อประมวลผลคำสั่งอันตรายโดยตรงผ่านช่องทางป้อนข้อมูลมาตรฐาน (Standard Input) เทคนิคนี้ช่วยให้มัลแวร์สามารถหลบเลี่ยงระบบตรวจจับความปลอดภัย (Evasion Technique) ได้ดีขึ้น เนื่องจากไม่มีการบันทึกไฟล์คำสั่งลงบนหน่วยความจำหรือฮาร์ดดิสก์โดยตรง
2.2 การโจมตีบนระบบปฏิบัติการ macOS ผู้ใช้งานจะได้รับไฟล์ดิสก์อิมเมจ (ChatGpt.dmg) ซึ่งภายในบรรจุมัลแวร์ขโมยข้อมูลสายพันธุ์ Odyssey Stealer (พัฒนาต่อยอดจากมัลแวร์ Atomic Stealer หรือ AMOS) โดยมัลแวร์ตัวนี้จะแสดงหน้าต่างแจ้งเตือนปลอม (Fake Prompt) เพื่อหลอกให้เหยื่อกรอกรหัสผ่านของระบบ จากนั้นจะนำไปใช้เข้าถึงระบบจัดการรหัสผ่าน (Keychain) คุกกี้ (Cookies) ข้อมูลการเข้าสู่ระบบที่บันทึกไว้ (Saved Logins) รวมถึงข้อมูลจากเว็บเบราว์เซอร์ และแอปพลิเคชันสนทนา นอกจากนี้ มัลแวร์ยังพุ่งเป้าไปที่การสแกนหาและสับเปลี่ยนแอปพลิเคชันกระเป๋าเงินคริปโทเคอร์เรนซีด้วยแอปพลิเคชันที่ถูกดัดแปลงฝังมัลแวร์ (Trojanized Application) เพื่อโอนย้ายสินทรัพย์ดิจิทัลของเหยื่ออีกด้วย
แนวทางการป้องกัน
3.1 ดาวน์โหลด ChatGPT จากเว็บไซต์ทางการของ OpenAI เท่านั้น ได้แก่ https://openai.com/chatgpt/desktop/ หรือ https://openai.com/chatgpt/download/
3.2 หลีกเลี่ยงการดาวน์โหลด ChatGPT จากโฆษณา search engine เว็บไซต์ mirror ลิงก์ใน social media ลิงก์ใน Discord Telegram หรือเว็บไซต์ที่มีชื่อโดเมนใกล้เคียงกับของจริง
3.3 ตรวจสอบ URL ให้ถูกต้องก่อนดาวน์โหลดทุกครั้ง โดยสัญลักษณ์กุญแจ HTTPS ไม่ได้ยืนยันว่าเว็บไซต์เป็นของผู้ให้บริการตัวจริง
3.4 ผู้ดูแลระบบควรบล็อกโดเมนและ IP address ที่เกี่ยวข้องกับแคมเปญนี้บน DNS filtering, proxy, firewall, EDR หรือระบบ secure web gateway
Indicators of Compromise (IOCs)
4.1 Domain
![openew[.]app.png](/assets/uploads/files/1780391504476-openew.app-resized.png)
แหล่งอ้างอิง
[1] https://dg.th/6m71oegluf
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานผู้โจมตีใช้ Large Language Model Agent หรือ LLM Agent เพื่อช่วยดำเนินการหลังจากเจาะระบบผ่านช่องโหว่ใน Marimo ซึ่งเป็นเครื่องมือสำหรับสร้าง Python Notebook และ Interactive Application โดยรายงานระบุว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ CVE-2026-39987 เพื่อเข้าถึง Marimo instance ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต จากนั้นใช้ LLM Agent ช่วยดำเนินกิจกรรมหลังการเจาะระบบ เช่น สำรวจสภาพแวดล้อม ค้นหาข้อมูลสำคัญ ขโมย Cloud Credentials ดึง SSH Private Key จาก AWS Secrets Manager และนำข้อมูลฐานข้อมูล PostgreSQL ออกไปจากระบบ จึงขอให้ผู้ดูแลระบบที่ใช้งาน Marimo หรือบริการลักษณะเดียวกัน ตรวจสอบการตั้งค่าและอัปเดตระบบทันที[1]
รายละเอียดช่องโหว่[2]
ช่องโหว่ CVE-2026-39987 ( มีคะแนน cvss v 3.1 : 9.8 ) เป็นช่องโหว่ที่ส่งผลกระทบต่อ Marimo โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อเข้าถึงระบบ Marimo ที่เปิดให้ใช้งานจากอินเทอร์เน็ต โดยเฉพาะระบบที่มีการตั้งค่าไม่ปลอดภัยหรือยังไม่ได้รับการอัปเดตแก้ไข หลังจากผู้โจมตีสามารถเข้าถึงระบบได้สำเร็จ พบว่าไม่ได้หยุดอยู่เพียงการเข้าถึงเบื้องต้น แต่มีการใช้ LLM Agent เข้ามาช่วยวิเคราะห์สภาพแวดล้อมของระบบ ค้นหาข้อมูลสำคัญ และเลือกใช้คำสั่งที่เหมาะสมสำหรับดำเนินการโจมตีต่อไป ซึ่งแสดงให้เห็นว่าเทคโนโลยี AI อาจถูกนำมาใช้เพื่อเพิ่มความรวดเร็วและความแม่นยำในขั้นตอนหลังการเจาะระบบ โดยกิจกรรมที่พบ ได้แก่ การค้นหา Credentials ภายในระบบ การใช้ AWS Access Key เพื่อเรียกใช้งาน AWS API การเข้าถึง AWS Secrets Manager เพื่อดึง SSH Private Key รวมถึงการนำข้อมูลจากฐานข้อมูล PostgreSQL ออกไปภายนอกระบบ
ระบบที่อาจได้รับผลกระทบ[3]
2.1 Marimo เวอร์ชัน 0.20.4 และต่ำกว่า
2.2 Marimo instance ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต โดยเฉพาะการใช้งานแบบ editable notebook
2.3 ระบบที่เปิดใช้งาน Marimo ด้วย --host 0.0.0.0 ในโหมด edit และไม่มีการควบคุมการเข้าถึงที่เหมาะสม
2.4 ระบบที่ใช้การยืนยันตัวตนภายในของ Marimo เพียงอย่างเดียว โดยไม่มี authentication proxy หรือ network access control เพิ่มเติม
2.5 ระบบที่มีการจัดเก็บ Cloud Credentials, AWS Access Key, SSH Key หรือ Secret ต่าง ๆ ไว้ในสภาพแวดล้อมที่เข้าถึงได้จากแอปพลิเคชัน
2.6 ระบบ Cloud ที่มีการกำหนดสิทธิ์ IAM กว้างเกินความจำเป็น
2.7 ระบบ Notebook หรือ Development Environment ที่เปิดใช้งานแบบ Public โดยไม่มีการควบคุมการเข้าถึงที่เหมาะสม
แนวทางการแก้ไข
3.1 อัปเดต Marimo เป็นเวอร์ชัน 0.23.0 หรือใหม่กว่า ซึ่งเป็นเวอร์ชันที่มีการแก้ไขช่องโหว่ดังกล่าวแล้ว
3.2 ตรวจสอบว่าไม่มี Marimo instance หรือบริการ Notebook ที่เปิดสู่ Public Internet โดยไม่จำเป็น
3.3 จำกัดการเข้าถึงระบบผ่าน VPN, Internal Network, Authentication Proxy หรือ IP Address ที่เชื่อถือได้เท่านั้น
3.4 ตรวจสอบและหมุนเวียน Cloud Credentials, AWS Access Key, SSH Key และ Secret ที่อาจถูกเข้าถึง
3.5 ตรวจสอบ AWS CloudTrail, Secrets Manager Access Log และ Log ที่เกี่ยวข้อง เพื่อค้นหาการเข้าถึงที่ผิดปกติ
3.6 ปรับสิทธิ์ IAM ให้เป็นไปตามหลัก Least Privilege โดยให้สิทธิ์เท่าที่จำเป็นต่อการใช้งาน
3.7 ตรวจสอบฐานข้อมูล PostgreSQL และระบบจัดเก็บข้อมูลอื่น ๆ ว่ามีการเข้าถึงหรือถ่ายโอนข้อมูลผิดปกติหรือไม่
มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
4.1 ปิดการเข้าถึง Marimo จากอินเทอร์เน็ตภายนอกชั่วคราว
4.2 จำกัดการเข้าถึงเฉพาะเครือข่ายภายใน, VPN หรือ IP Address ที่เชื่อถือได้
4.3 ปิดหรือจำกัดการใช้งาน Terminal WebSocket หากไม่จำเป็นต่อการใช้งาน
4.4 เพิกถอนหรือเปลี่ยน Cloud Credentials, AWS Access Key, SSH Key และ Secret ที่อาจเกี่ยวข้องทันที
4.5 ตรวจสอบ Secret ที่จัดเก็บในระบบ Cloud และยกเลิก Secret ที่ไม่จำเป็น
4.6 เพิ่มการเฝ้าระวัง Log ของระบบ Cloud, Notebook Server, WebSocket และฐานข้อมูล
4.7 สำรองข้อมูลสำคัญ และตรวจสอบความถูกต้องของ Backup

แหล่งอ้างอิง
[1] https://dg.th/rxg573pjsm
[2] https://dg.th/quln4dzmwx
[3] https://dg.th/s3b1ocmf7v
New Tooling
Vulnerabilities
Malware
Breaches/Hacks/Leaks
General News
อ้างอิง
Electronic Transactions Development Agency (ETDA) 
Vulnerabilities
Malware
Breaches/Hacks/Leaks
General News
อ้างอิง
Electronic Transactions Development Agency (ETDA) 