สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Healthcare Sector

• Medixant RadiAnt DICOM Viewer
  "Successful exploitation of this vulnerability could allow an attacker to perform a machine-in-the-middle attack (MITM), resulting in malicious updates being delivered to the user."
  https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-051-01

Industrial Sector

• ABB ASPECT-Enterprise, NEXUS, And MATRIX Series
  "Successful exploitation of this vulnerability could allow an attacker to obtain access to devices without proper authentication."
  https://www.cisa.gov/news-events/ics-advisories/icsa-25-051-01
• ABB FLXEON Controllers
  "Successful exploitation of these vulnerabilities could allow an attacker to send unauthorized HTTPS requests, access sensitive information from HTTPS responses, or use network access to execute remote code."
  https://www.cisa.gov/news-events/ics-advisories/icsa-25-051-02
• Siemens SiPass Integrated
  "Successful exploitation of this vulnerability could allow an attacker to execute arbitrary code on the application server, if a specially crafted backup set is used for a restore."
  https://www.cisa.gov/news-events/ics-advisories/icsa-25-051-04
• Elseta Vinci Protocol Analyzer
  "Successful exploitation of this vulnerability could allow an attacker to escalate privileges and perform code execution on the affected system."
  https://www.cisa.gov/news-events/ics-advisories/icsa-25-051-06
• Rapid Response Monitoring My Security Account App
  "Successful exploitation of this vulnerability could allow attacker to access sensitive information of other users."
  https://www.cisa.gov/news-events/ics-advisories/icsa-25-051-05
• Carrier Block Load
  "Successful exploitation of this vulnerability could allow a malicious actor to execute arbitrary code with escalated privileges ."
  https://www.cisa.gov/news-events/ics-advisories/icsa-25-051-03

New Tooling

• Guard Your Codebase: Practical Steps And Tools To Prevent Malicious Code
  "Malicious code is widespread and easy to use against any target. This year, our security research and data science teams detected and analyzed thousands of malicious code instances in repositories and packages, with new ones emerging every day. For instance, we published findings on how millions of GitHub repositories were cloned and infected with malware loaders – read more about it here."
  https://apiiro.com/blog/guard-your-codebase-practical-steps-and-tools-to-prevent-malicious-code/
  https://github.com/apiiro/malicious-code-ruleset
  https://github.com/apiiro/PRevent
  https://www.bleepingcomputer.com/news/security/apiiro-unveils-free-scanner-to-detect-malicious-code-merges/
  https://www.helpnetsecurity.com/2025/02/20/prevent-open-source-tool-to-detect-malicious-code-in-pull-requests/

Vulnerabilities

• Atlassian Patches Critical Vulnerabilities In Confluence, Crowd
  "Atlassian this week announced the rollout of patches for 12 critical- and high-severity vulnerabilities in its Bamboo, Bitbucket, Confluence, Crowd, and Jira products. The company released fixes for five critical-severity issues in Confluence Data Center and Server and Crowd Data Center and Server that were discovered in third-party dependencies used within the two products. Updates released for Confluence Data Center and Server address two critical flaws in Apache Tomcat. Tracked as CVE-2024-50379 and CVE-2024-56337 (CVSS score of 9.8), the two issues could be exploited by unauthenticated attackers to achieve remote code execution (RCE), the company warns."
  https://www.securityweek.com/atlassian-patches-critical-vulnerabilities-in-confluence-crowd/
  https://confluence.atlassian.com/security/security-bulletin-february-18-2025-1510670627.html
• CVE-2024-12284: High-Severity Security Update For NetScaler Console
  "On February 18, 2025, Cloud Software Group released builds to fix CVE-2024-12284, which affects NetScaler Console. This vulnerability has been discovered in NetScaler Console (formerly NetScaler ADM) and NetScaler Console Agent and has been assigned a CVSS score of 8.8."
  https://www.netscaler.com/blog/news/cve-2024-12284-high-severity-security-update-for-netscaler-console/
  https://thehackernews.com/2025/02/citrix-releases-security-fix-for.html
  https://securityaffairs.com/174425/security/citrix-addressed-netscaler-console-privilege-escalation-flaw.html
• Microsoft Patches Actively Exploited Power Pages Privilege Escalation Vulnerability
  "Microsoft has released security updates to address two Critical-rated flaws impacting Bing and Power Pages, including one that has come under active exploitation in the wild."
  https://thehackernews.com/2025/02/microsoft-patches-actively-exploited.html
  https://www.bleepingcomputer.com/news/security/microsoft-fixes-power-pages-zero-day-bug-exploited-in-attacks/
  https://www.securityweek.com/microsoft-patches-exploited-power-pages-vulnerability/
  https://securityaffairs.com/174430/security/microsoft-fixed-actively-exploited-flaw-in-power-pages.html
  https://www.theregister.com/2025/02/20/microsoft_patch_power_pages/
• Ivanti Endpoint Manager – Multiple Credential Coercion Vulnerabilities
  "Back in October of 2024, we were investigating one of the many Ivanti vulnerabilities and found ourselves without a patch to “patch diff” with – leading us to audit the code base at mach speed. This led to the discovery of four critical vulnerabilities in Ivanti Endpoint Manager (EPM). These vulnerabilities were patched last month in Ivanti’s January patch rollup. The vulnerabilities discovered allow an unauthenticated attacker to coerce the Ivanti EPM machine account credential to be used in relay attacks, potentially allowing for server compromise."
  https://www.horizon3.ai/attack-research/attack-blogs/ivanti-endpoint-manager-multiple-credential-coercion-vulnerabilities/
  https://www.securityweek.com/poc-exploit-published-for-critical-ivanti-epm-vulnerabilities/
• Critical Flaws In Mongoose Library Expose MongoDB To Data Thieves, Code Execution
  "Security sleuths found two critical vulnerabilities in a third-party library that MongoDB relies on, which means bad guys can potentially steal data and run code. Mongoose is an Object Data Modeling (ODM) library for MongoDB to enable database integrations in Node.js applications. It allows JavaScript objects to be mapped to MongoDB documents, providing an abstraction layer to help with the management and validation of structured data. Mongoose has 19,593 dependents, according to its Node Package Manager page, and over 27,000 stars on GitHub."
  https://www.theregister.com/2025/02/20/mongoose_flaws_mongodb/
• CISA Adds Two Known Exploited Vulnerabilities To Catalog
  "CISA has added two new vulnerabilities to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation.
  CVE-2025-23209 Craft CMS Code Injection Vulnerability
  CVE-2025-0111 Palo Alto Networks PAN-OS File Read Vulnerability"
  https://www.cisa.gov/news-events/alerts/2025/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog

Malware

• Weathering The Storm: In The Midst Of a Typhoon
  "Cisco Talos has been closely monitoring reports of widespread intrusion activity against several major U.S. telecommunications companies. The activity, initially reported in late 2024 and later confirmed by the U.S. government, is being carried out by a highly sophisticated threat actor dubbed Salt Typhoon. This blog highlights our observations on this campaign and identifies recommendations for detection and prevention of the actor’s activities."
  https://blog.talosintelligence.com/salt-typhoon-analysis/
  https://www.bleepingcomputer.com/news/security/salt-typhoon-uses-jumbledpath-malware-to-spy-on-us-telecom-networks/
  https://cyberscoop.com/cisco-talos-salt-typhoon-initial-access/
  https://securityaffairs.com/174460/apt/salt-typhoon-custom-malware-jumbledpath-to-spy-u-s-telecom-providers.html
• The Bleeding Edge Of Phishing: Darcula-Suite 3.0 Enables DIY Phishing Of Any Brand
  "The criminals at darcula are back for more blood, and they mean business with one of the more impactful innovations in phishing in recent years. The new version of their “Phishing-as-a-Service” (PhaaS) platform, darcula-suite adds first-of-its-kind personalization capabilities to the previously built darcula V2 platform, using Puppeteer-style tools to allow criminals to build advanced phishing kits that can now target any brand with the click of a button."
  https://www.netcraft.com/blog/darcula-v3-phishing-kits-targeting-any-brand/
  https://www.bleepingcomputer.com/news/security/darcula-phaas-can-now-auto-generate-phishing-kits-for-any-brand/
  https://www.darkreading.com/threat-intelligence/darcula-phishing-kit-impersonate-brand
  https://www.helpnetsecurity.com/2025/02/20/darcula-allows-tech-illiterate-crooks-to-create-deploy-diy-phishing-kits-targeting-any-brand/
• Meet NailaoLocker: a Ransomware Distributed In Europe By ShadowPad And PlugX Backdoors
  "Last year, Orange Cyberdefense’s CERT investigated a series of incidents from an unknown threat actor leveraging both ShadowPad and PlugX. Tracked as Green Nailao (“Nailao” meaning “cheese” in Chinese – a topic our World Watch CTI team holds in high regard), the campaign impacted several European organizations, including in the healthcare vertical, during the second half of 2024. We believe this campaign has targeted a larger panel of organizations across the world throughout multiple sectors."
  https://www.orangecyberdefense.com/global/blog/cert-news/meet-nailaolocker-a-ransomware-distributed-in-europe-by-shadowpad-and-plugx-backdoors
  https://www.bleepingcomputer.com/news/security/new-nailaolocker-ransomware-used-against-eu-healthcare-orgs/
  https://thehackernews.com/2025/02/chinese-linked-attackers-exploit-check.html
  https://therecord.media/china-linked-hackers-target-european-health-orgs
  https://securityaffairs.com/174440/malware/nailaolocker-ransomware-targets-eu-healthcare-related-entities.html
• DeceptiveDevelopment Targets Freelance Developers
  "Cybercriminals have been known to approach their targets under the guise of company recruiters, enticing them with fake employment offers. After all, what better time to strike than when the potential victim is distracted by the possibility of getting a job? Since early 2024, ESET researchers have observed a series of malicious North Korea-aligned activities, where the operators, posing as headhunters, try to serve their targets with software projects that conceal infostealing malware. We call this activity cluster DeceptiveDevelopment."
  https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-targets-freelance-developers/
  https://thehackernews.com/2025/02/north-korean-hackers-target-freelance.html
  https://www.infosecurity-magazine.com/news/malicious-ads-target-freelance/
  https://www.helpnetsecurity.com/2025/02/20/deceptivedevelopment-fake-job-offers/
• SecTopRAT Bundled In Chrome Installer Distributed Via Google Ads
  "Criminals are once again abusing Google Ads to trick users into downloading malware. Ironically, this time the bait is a malicious ad for Google Chrome, the world’s most popular browser. Victims who click the ad land on a fraudulent Google Sites page designed as a intermediary portal, similar to what we saw earlier this year with the massive Google accounts phishing campaign. The final redirect eventually downloads a large executable disguised as Google Chrome which does install the aforementioned but also surreptitiously drops a malware payload known as SecTopRAT."
  https://www.malwarebytes.com/blog/news/2025/02/sectoprat-bundled-in-chrome-installer-distributed-via-google-ads
• Updated Shadowpad Malware Leads To Ransomware Deployment
  "In November 2024, we had two incident response cases in Europe with similar C&C servers and other TTPs, suggesting a single threat actor behind both operations. Both incidents involved Shadowpad, a malware family that has been used by multiple advanced Chinese threat actors to perform espionage. Hunting for similar TTPs, we found a total of 21 companies being targeted with similar malware toolkit in the last 7 months. Nine of them in Europe, eight in Asia, three in the Middle East, and one in South America. We found eight different industries being affected, with more than half of the targets being in the Manufacturing industry. They are listed in the Victimology section."
  https://www.trendmicro.com/en_us/research/25/b/updated-shadowpad-malware-leads-to-ransomware-deployment.html
  https://www.securityweek.com/chinese-apt-tools-found-in-ransomware-schemes-blurring-attribution-lines/
• Stately Taurus Activity In Southeast Asia Links To Bookworm Malware
  "While analyzing infrastructure related to Stately Taurus activity targeting organizations in countries affiliated with the Association of Southeast Asian Nations (ASEAN), Unit 42 researchers observed overlaps with infrastructure used by a variant of the Bookworm malware. We also found open-source intelligence that revealed additional Stately Taurus activity in the region during the same timeframe, including a January 2024 CSIRT CTI post detailing attacks in Myanmar."
  https://unit42.paloaltonetworks.com/stately-taurus-uses-bookworm-malware/

Breaches/Hacks/Leaks

• Black Basta Ransomware Gang's Internal Chat Logs Leak Online
  "An unknown leaker has released what they claim to be an archive of internal Matrix chat logs belonging to the Black Basta ransomware operation. ExploitWhispers, the individual who previously uploaded the stolen messages to the MEGA file-sharing platform, which are now removed, has uploaded it to a dedicated Telegram channel. It's not yet clear if ExploitWhispers is a security researcher who gained access to the gang's internal chat server or a disgruntled member. While they never shared the reason behind this move, cyber threat intelligence company PRODAFT said today that the leak could directly result from the ransomware gang's alleged attacks targeting Russian banks."
  https://www.bleepingcomputer.com/news/security/black-basta-ransomware-gang-s-internal-chat-logs-leak-online/
• Mining Company NioCorp Loses $500,000 In BEC Hack
  "US-based mining company NioCorp Developments informed the SEC on Wednesday that it recently lost a significant amount of money after its systems were hacked. NioCorp, which is currently developing a critical minerals project in the United States, revealed that it discovered a cybersecurity incident on February 14. The incident involved a breach of its information systems, including a portion of its email systems."
  https://www.securityweek.com/mining-company-niocorp-loses-500000-in-bec-hack/
  https://www.theregister.com/2025/02/20/niocorp_bec_scam/
• Medusa Ransomware Gang Demands $2M From UK Private Health Services Provider
  "HCRG Care Group, a private health and social services provider, has seemingly fallen victim to the Medusa ransomware gang, which is threatening to leak what's claimed to be stolen internal records unless a substantial ransom is paid. Previously known as Virgin Care and now owned by Twenty20 Capital, HCRG runs child and family health and social services across the UK for the NHS and local authorities, with a workforce said to number 5,000. Its annual turnover to March 2023, its latest available figure, was just shy of £250 million ($315 million)."
  https://www.theregister.com/2025/02/20/medusa_hcrg_ransomware/

General News

• Unknown And Unsecured: The Risks Of Poor Asset Visibility
  "In this Help Net Security interview, Juliette Hudson, CTO of CybaVerse, discusses why asset visibility remains a critical cybersecurity challenge. She explains how to maintain security without slowing down operations, shares ways to improve visibility in OT environments, and explains how AI can be both a solution and a challenge. Hudson also provides actionable advice for security leaders seeking to enhance their organization’s security posture."
  https://www.helpnetsecurity.com/2025/02/20/juliette-hudson-cybaverse-asset-visibility/
• 300% Increase In Endpoint Malware Detections
  "The third quarter of 2024 saw a dramatic shift in the types of malware detected at network perimeters, according to a new WatchGuard report. The report’s key findings include a 300% increase quarter over quarter of endpoint malware detections, highlighted by growing threats that exploit legitimate websites or documents for malicious purposes as threat actors turn to more social engineering tactics to execute their attacks."
  https://www.helpnetsecurity.com/2025/02/20/endpoint-malware-increase-watchguard-q3-2024-internet-security-report/
• “Script Kiddies” Get Hacked—what It Means About The Cybercrime Economy
  "The discovery of a Trojan disguised as software to help low-skill hackers build XWorm RAT malware indicates the maturity and complexity of the thriving cybercrime economy—and it reminds us that there’s no honor among thieves. Imagine that you are an ambitious young wannabe hacker. You’re no expert coder. Instead, you’ve found your way to the dark web’s marketplace for cybercrime tools and services. There, you’re like a kid in a candy shop. For very reasonable prices, you can buy or rent paint-by-numbers software that makes it easy to build and deploy a cyber attack. A small extra fee adds 24-hour technical support."
  https://blog.barracuda.com/2025/02/19/Script-Kiddies-get-hacked-what-it-means-about-the-cybercrime-economy
• When Brand Loyalty Trumps Data Security
  "I'm a Marriott guy. I have been for a long time, and it's hard to imagine making a change at this point. So when I read about the Federal Trade Commission (FTC) ordering Marriott to overhaul its data security strategy recently, it got me thinking. Despite the US government making it crystal clear that this company I trusted with my data did a poor job protecting it, I still knew it would keep my business."
  https://www.darkreading.com/cyberattacks-data-breaches/when-brand-loyalty-trumps-data-security
• Signs Your Organization's Culture Is Hurting Your Cybersecurity
  "These days, the word "toxic" gets thrown around a lot in many contexts, but when used to describe organizational culture, it poses an actual threat. When employees are constantly overworked, undervalued, or forced to operate in high-stress, blame-heavy environments, mistakes are inevitable. Fatigue leads to oversight, disengagement breeds carelessness, and a lack of psychological safety prevents people from speaking up about vulnerabilities or potential risks. In an industry where even the smallest errors can have massive consequences, this kind of dysfunction can be dangerous."
  https://www.darkreading.com/cybersecurity-operations/signs-organization-culture-hurting-cybersecurity
• Mobile Phishing Attacks Surge With 16% Of Incidents In US
  "Security researchers have observed a sharp rise in mobile phishing attacks, known as “mishing,” with activity peaking in August 2024 at over 1000 daily attack records. The report, published by Zimperium zLabs, also found that 16% of all mobile phishing incidents occurred in the US."
  https://www.infosecurity-magazine.com/news/mobile-phishing-attacks-surge-16/
• Over 330 Million Credentials Compromised By Infostealers
  "Infostealers became one of the “most significant initial access vectors” in the threat landscape last year, with one threat intelligence company claiming to find over 330 million compromised credentials linked to the malware. Israeli firm Kela revealed the findings in its latest report, The State of Cybercrime 2024, published today and based on its own analysis of the threat landscape. The hundreds of millions of compromised credentials it found were linked to infostealer activity on at least 4.3 million machines. Although both figures represent just a slight increase on 2023, the direction of travel is clear."
  https://www.infosecurity-magazine.com/news/330-million-credentials/
  https://www.kelacyber.com/resources/research/state-of-cybercrime-2024/
• Managed Detection And Response In 2024
  "Kaspersky Managed Detection and Response service (MDR) provides round-the-clock monitoring and threat detection, based on Kaspersky technologies and expertise. The annual MDR analyst report presents insights based on the analysis of incidents detected by Kaspersky’s SOC team. It sheds light on the most prevalent attacker tactics, techniques, and tools, as well as the characteristics of identified incidents and their distribution across regions and industry sectors among MDR customers."
  https://securelist.com/kaspersky-managed-detection-and-response-report-2024/115635/

อ้างอิง
Electronic Transactions Development Agency(ETDA)

เมื่อวันที่ 20 กุมภาพันธ์ 2568 Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการเผยแพร่การเพิ่มช่องโหว่ใหม่ 2 รายการในแค็ตตาล็อก ช่องโหว่อาจเป็นที่รู้จักของกลุ่มแฮกเกอร์ ซึ่งการเพิ่มนี้ขึ้นอยู่กับข้อมูลของการแสวงหาผลประโยชน์จากการโจมตีช่องโหว่ดังกล่าวนั้นได้ ช่องโหว่เหล่านี้เป็นการโจมตีบ่อยครั้งสำหรับผู้ที่ไม่ประสงค์ดีด้านภัยคุกคามทางไซเบอร์และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรนั้นได้ มีรายละเอียดดังนี้

• CVE-2025-23209 Craft CMS Code Injection Vulnerability
  Craft เป็น CMS ที่มีความยืดหยุ่นและใช้งานง่ายสำหรับการสร้างประสบการณ์ดิจิทัลแบบกำหนดเองบนเว็บและอื่น ๆ นี่เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ที่ส่งผลต่อการติดตั้ง Craft 4 และ 5 ที่มีคีย์ความปลอดภัยของคุณถูกบุกรุกแล้ว ใครก็ตามที่ใช้งาน Craft เวอร์ชันที่ไม่ได้รับการแก้ไขซึ่งมีคีย์ความปลอดภัยที่ถูกบุกรุกจะได้รับผลกระทบ ช่องโหว่นี้ได้รับการแก้ไขใน Craft 5.5.8 และ 4.13.8 ผู้ใช้ที่ไม่สามารถอัปเดตเป็นเวอร์ชันที่ได้รับการแก้ไขควรหมุนเวียนคีย์ความปลอดภัยของตนและรับรองความเป็นส่วนตัวเพื่อช่วยแก้ไขปัญหา

• CVE-2025-0111 Palo Alto Networks PAN-OS File Read Vulnerability
  ช่องโหว่การอ่านไฟล์ที่ผ่านการรับรองในซอฟต์แวร์ PAN-OS ของ Palo Alto Networks ช่วยให้ผู้โจมตีที่ผ่านการรับรองที่มีสิทธิ์เข้าถึงอินเทอร์เฟซเว็บการจัดการสามารถอ่านไฟล์ในระบบไฟล์ PAN-OS ที่ผู้ใช้ "ไม่มีใคร" สามารถอ่านได้ คุณสามารถลดความเสี่ยงของปัญหานี้ได้อย่างมากโดยการจำกัดการเข้าถึงอินเทอร์เฟซเว็บการจัดการให้เฉพาะที่อยู่ IP ภายในที่เชื่อถือได้เท่านั้นตามแนวทางการปรับใช้แนวทางปฏิบัติที่ดีที่สุดที่เราแนะนำ https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431 ปัญหานี้ไม่ส่งผลต่อซอฟต์แวร์ Cloud NGFW หรือ Prisma Access

อ้างอิง
https://www.cisa.gov/news-events/alerts/2025/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม(ICS) 7 รายการ เมื่อวันที่ 20 กุมภาพันธ์ 2568 ซึ่งคำแนะนำเหล่านี้ให้ข้อมูลที่ทันท่วงทีเกี่ยวกับปัญหาด้านความปลอดภัยช่องโหว่ และช่องโหว่ที่อยู่รอบ ๆ ICS ในปัจจุบัน มีดังต่อไปนี้

• ICSA-25-051-01 ABB ASPECT-Enterprise, NEXUS, and MATRIX Series
  CVSS เวอร์ชัน 4 9.3
  หมายเหตุ : สามารถใช้ประโยชน์ได้จากระยะไกล/ความซับซ้อนในการโจมตีต่ำ
  อุปกรณ์ : ซีรีย์ ASPECT-Enterprise, NEXUS และ MATRIX
  ความเสี่ยง : การใช้ข้อมูลประจำตัวแบบฮาร์ดโค้ด
  การใช้ประโยชน์จากช่องโหว่นี้สำเร็จอาจทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ได้โดยไม่ต้องมีการรับรองความถูกต้องที่เหมาะสม
  ผลิตภัณฑ์ที่ได้รับผลกระทบ
  ABB ASPECT-Enterprise ASP-ENT-x: Versions 3.08.03 and prior
  ABB NEXUS Series NEX-2x: Versions 3.08.03 and prior
  ABB NEXUS Series: Versions 3.08.03 and prior
  ABB MATRIX Series MAT-x: Versions 3.08.03 and prior

• ICSA-25-051-02 ABB FLXEON Controllers
  CVSS v4 10.0
  หมายเหตุ : สามารถใช้ประโยชน์ได้จากระยะไกล/ความซับซ้อนในการโจมตีต่ำ
  อุปกรณ์ : ตัวควบคุม FLXEON
  ช่องโหว่ : การควบคุมชื่อไฟล์ที่ไม่เหมาะสมสำหรับคำสั่ง Include/Require ในโปรแกรม PHP ('PHP Remote File Inclusion'), ขาดการตรวจสอบแหล่งที่มาใน WebSockets, การแทรกข้อมูลที่ละเอียดอ่อนลงในไฟล์บันทึก
  การใช้ประโยชน์จากช่องโหว่เหล่านี้สำเร็จอาจทำให้ผู้โจมตีสามารถส่งคำขอ HTTPS ที่ไม่ได้รับอนุญาต เข้าถึงข้อมูลที่ละเอียดอ่อนจากการตอบสนอง HTTPS หรือใช้การเข้าถึงเครือข่ายเพื่อรันโค้ดจากระยะไกลได้
  ผลิตภัณฑ์ที่ได้รับผลกระทบ
  FLXEON Controllers FBXi: Version 9.3.4 and prior
  FLXEON Controllers FBVi: Version 9.3.4 and prior
  FLXEON Controllers FBTi: Version 9.3.4 and prior
  FLXEON Controllers CBXi: Version 9.3.4 and prior

• ICSA-25-051-04 Siemens SiPass Integrated
  CVSS เวอร์ชัน 4 9.3
  หมายเหตุ : สามารถใช้ประโยชน์ได้จากระยะไกล/ความซับซ้อนในการโจมตีต่ำ
  ผู้จำหน่าย : Siemens
  อุปกรณ์ : SiPass แบบรวม
  ช่องโหว่ : การจำกัดเส้นทางไปยังไดเร็กทอรีที่ถูกจำกัดอย่างไม่เหมาะสม ('การข้ามเส้นทาง')
  การใช้ประโยชน์จากช่องโหว่นี้สำเร็จอาจทำให้ผู้โจมตีสามารถรันโค้ดตามอำเภอใจบนเซิร์ฟเวอร์แอปพลิเคชันได้ หากใช้ชุดการสำรองข้อมูลที่สร้างขึ้นเป็นพิเศษเพื่อการกู้คืน
  ผลิตภัณฑ์ที่ได้รับผลกระทบ
  SiPass integrated V2.90: Versions prior to V2.90.3.19
  SiPass integrated V2.95: Versions prior to V2.95.3.15

• ICSA-25-051-05 Rapid Response Monitoring My Security Account App
  CVSS เวอร์ชัน 4 8.7
  หมายเหตุ : สามารถใช้ประโยชน์ได้จากระยะไกล/ความซับซ้อนในการโจมตีต่ำ
  ผู้ขาย : การติดตามการตอบสนองอย่างรวดเร็ว
  อุปกรณ์ : แอป My Security Account
  ช่องโหว่ : การข้ามการอนุญาตผ่านคีย์ที่ควบคุมโดยผู้ใช้
  การใช้ประโยชน์จากช่องโหว่นี้สำเร็จอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้รายอื่นได้
  ผลิตภัณฑ์ที่ได้รับผลกระทบ
  My Security Account App API: Versions prior to 7/29/24

• ICSA-25-051-06 Elseta Vinci Protocol Analyzer
  CVSS เวอร์ชัน 4 9.4
  หมายเหตุ : สามารถใช้ประโยชน์ได้จากระยะไกล/ความซับซ้อนในการโจมตีต่ำ
  ผู้ขาย : Elseta
  อุปกรณ์ : เครื่องวิเคราะห์โปรโตคอลวินชี
  ช่องโหว่ : การทำให้เป็นกลางที่ไม่เหมาะสมขององค์ประกอบพิเศษที่ใช้ในคำสั่ง OS ('การแทรกคำสั่ง OS')
  การใช้ประโยชน์จากช่องโหว่นี้สำเร็จอาจทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์และดำเนินการโค้ดบนระบบที่ได้รับผลกระทบได้
  ผลิตภัณฑ์ที่ได้รับผลกระทบ
  Vinci Protocol Analyzer: Versions prior to 3.2.3.19

• ICSA-24-291-03 Mitsubishi Electric CNC Series (Update A)
  CVSS เวอร์ชัน 4 8.2
  หมายเหตุ : สามารถใช้ประโยชน์ได้จากระยะไกล
  ผู้จำหน่าย : มิตซูบิชิ อิเล็คทริค
  อุปกรณ์ : ซีรี่ส์ CNC
  ช่องโหว่ : การตรวจสอบปริมาณที่ระบุในอินพุตไม่ถูกต้อง
  การใช้ประโยชน์จากช่องโหว่นี้สำเร็จอาจทำให้ผู้โจมตีระยะไกลที่ไม่ผ่านการตรวจสอบสามารถสร้างสภาวะปฏิเสธการให้บริการบนอุปกรณ์ที่ได้รับผลกระทบได้
  ผลิตภัณฑ์ที่ได้รับผลกระทบ
  M800VW (BND-2051W000-) : Versions B1 and prior
  M800VS (BND-2052W000-) : Versions B1 and prior
  M80V (BND-2053W000-** ) : Versions B1 and prior
  M80VW (BND-2054W000-** ) : Versions B1 and prior
  M800W (BND-2005W000-** ) : Versions FH and prior
  M800S (BND-2006W000-** ) : Versions FH and prior
  M80 (BND-2007W000-** ) : Versions FH and prior
  M80W (BND-2008W000-** ) : Versions FH and prior
  E80 (BND-2009W000-** ) : Versions FH and prior
  C80 (BND-2036W000-** ) : All versions
  M750VW (BND-1015W002-** ) : All versions
  M730VW/M720VW (BND-1015W000-** ) : All versions
  M750VS (BND-1012W002-** ) : All versions
  M730VS/M720VS (BND-1012W000-** ) : All versions
  M70V (BND-1018W000-** ) : All versions
  E70 (BND-1022W000-** ) : All versions
  NC Trainer2 (BND-1802W000-** ) : All versions
  NC Trainer2 plus (BND-1803W000-** ) : All versions

• ICSMA-25-051-01 Medixant RadiAnt DICOM Viewer
  CVSS เวอร์ชัน 4 5.7
  คำเตือน : ความซับซ้อนในการโจมตีต่ำ
  ผู้ขาย : Medixant
  อุปกรณ์ : RadiAnt DICOM Viewer
  ความเสี่ยง : การตรวจสอบใบรับรองที่ไม่เหมาะสม
  การใช้ประโยชน์จากช่องโหว่นี้สำเร็จอาจทำให้ผู้โจมตีสามารถโจมตีแบบเครื่องกลาง (MITM) ส่งผลให้มีการส่งการอัปเดตที่เป็นอันตรายไปยังผู้ใช้
  ผลิตภัณฑ์ที่ได้รับผลกระทบ
  RadiAnt DICOM Viewer: Version 2024.02

ทั้งนี้ CISA สนับสนุนให้ผู้ใช้และผู้ดูแลระบบตรวจสอบคำแนะนำ ICS ที่เผยแพร่ใหม่สำหรับรายละเอียดทางเทคนิคและการบรรเทาผลกระทบ รายละเอียดเพิ่มเติมที่ https://www.cisa.gov/news-events/alerts/2025/02/20/cisa-releases-seven-industrial-control-systems-advisories

อ้างอิง
https://www.cisa.gov/news-events/alerts/2025/02/20/cisa-releases-seven-industrial-control-systems-advisories

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับรายงานแคมเปญไซเบอร์ที่เกิดขึ้นอย่างต่อเนื่อง โดยกำหนดเป้าหมายไปที่ซอฟต์แวร์ Cisco IOS XE ที่เชื่อมต่อผ่านอินเทอร์เน็ตและไม่ได้รับการแก้ไข ซึ่งเกี่ยวข้องกับผู้ให้บริการโทรคมนาคมทั่วโลก

มีรายงานเกี่ยวกับแคมเปญไซเบอร์ที่มุ่งเป้าไปที่ช่องโหว่หมายเลข CVE-2023-20198 และ CVE-2023-20273 ในซอฟต์แวร์ Cisco Internetworking Operating System eXtended Edition (IOS XE) ที่เชื่อมต่อกับอินเทอร์เน็ตที่ไม่ได้รับการแก้ไขซึ่งเกี่ยวข้องกับผู้ให้บริการโทรคมนาคมทั่วโลก CVE-2023-20198 มีคะแนน Common Vulnerability Scoring System (CVSSv3.1) อยู่ที่ 10 คะแนน

จุดอ่อนที่พบได้คือ

• CVE-2023-20198: ช่องโหว่การยกระดับสิทธิ์ในฟีเจอร์อินเทอร์เฟซผู้ใช้บนเว็บ (UI) ของ Cisco IOS XE ซึ่งช่วยให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจรับรองสามารถสร้างบัญชีที่มีสิทธิ์การดูแลระบบเต็มรูปแบบได้ (ระดับสิทธิ์ 15)

• CVE-2023-20273: ช่องโหว่การเพิ่มสิทธิ์ซึ่งช่วยให้ผู้โจมตีสามารถดำเนินการคำสั่งตามอำเภอใจด้วยสิทธิ์รูทได้

ทั้ง CVE-2023-20198 และ CVE-2023-20273 สามารถเชื่อมโยงเข้าด้วยกันเพื่อใช้ประโยชน์จากฟีเจอร์ UI บนเว็บใน Cisco IOS XE สำหรับการเข้าถึงเบื้องต้นก่อนที่จะใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์เพื่อรับสิทธิ์รูท มีรายงานว่าผู้โจมตีสร้างอุโมงค์ Generic Routing Encapsulation (GRE) บนเราเตอร์ Cisco ที่ถูกบุกรุกเพื่อห่อหุ้มโปรโตคอลเครือข่ายผ่านเครือข่าย IP

ช่องโหว่เหล่านี้จะส่งผลต่อซอฟต์แวร์ Cisco IOS XE หากเปิดใช้งานฟีเจอร์ Web UI ฟีเจอร์ Web UI จะเปิดใช้งานได้ผ่านคำสั่งip http serverหรือip http secure-server

ขอแนะนำให้ผู้ใช้งานและผู้ดูแลระบบของผลิตภัณฑ์ที่ได้รับผลกระทบอัปเดตเป็นเวอร์ชันล่าสุดทันที สำหรับคำแนะนำโดยละเอียด โปรดดูคำแนะนำอย่างเป็นทางการของ Cisco: https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html

หากไม่สามารถทำการอัปเดตทันทีได้ ผู้ดูแลระบบควรปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP จนกว่าจะอัปเกรดอุปกรณ์ที่ได้รับผลกระทบได้ ผู้ดูแลระบบสามารถปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP ได้โดยใช้ คำสั่ง no ip http serverหรือno ip http secure-serverในโหมดการกำหนดค่าทั่วไป หากใช้งานทั้งเซิร์ฟเวอร์ HTTP และเซิร์ฟเวอร์ HTTP Secure จำเป็นต้องใช้คำสั่งทั้งสองคำสั่งเพื่อปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP เพื่อจำกัดการเปิดเผยต่อช่องโหว่เหล่านี้ ผู้ดูแลระบบควรอนุญาตให้เข้าถึงเซิร์ฟเวอร์ HTTP จากเครือข่ายที่เชื่อถือได้เท่านั้น ตัวอย่างต่อไปนี้แสดงวิธีอนุญาตให้เข้าถึงเซิร์ฟเวอร์ HTTP จากระยะไกลจากเครือข่าย 192.168.0.0/24 ที่เชื่อถือได้

ขอแนะนำให้ผู้ดูแลระบบตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายของตนเพื่อหาสัญญาณของการรับส่งข้อมูล GRE tunneling ที่เป็นอันตรายภายในเครือข่าย

• ปริมาณการรับส่งข้อมูลที่ไม่คาดคิดจากที่อยู่ IP ที่ผิดปกติ
• เพย์โหลดและโปรโตคอลที่ไม่ธรรมดา เช่น RDP หรือ SMB
• ปริมาณข้อมูลสูงในบันทึกอาจบ่งชี้ถึงการขโมยข้อมูลที่อาจเกิดขึ้นได้

การวิเคราะห์ปริมาณการรับส่งข้อมูล GRE ใน Wireshark
1.กรองการรับส่งข้อมูล GRE: ใช้ตัวกรองการแสดงผล GRE
2.วิเคราะห์ GRE Header: ฟิลด์หลักได้แก่ ประเภทโปรโตคอล (เช่น 0x0800 สำหรับ IPv4, 0x86DD สำหรับ IPv6) และแฟล็ก/ตัวเลือก
3.ตรวจสอบเพย์โหลดที่หุ้มไว้: ขยายส่วน “โปรโตคอลที่หุ้มไว้” เพื่อตรวจสอบแพ็กเก็ตภายใน
4.ระบุจุดสิ้นสุดของอุโมงค์: ตรวจสอบที่อยู่ต้นทางและปลายทางของส่วนหัว IP ภายนอก
5ตรวจสอบย้อนกลับกับ NetFlow: ตรวจสอบการรับส่งข้อมูลด้วยโปรโตคอล IP 47 และจับคู่ที่อยู่ภายนอก

อ้างอิง
https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-017

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Industrial Sector

• What Is The Board's Role In Cyber-Risk Management In OT Environments?
  "Boards of directors play an important role in managing the strategic risks faced by their organizations, particularly in sectors with high-risk operational technology (OT) environments such as energy, transportation, manufacturing, and production. Each of these industries relies heavily on OT — the hardware and software that controls physical processes and devices — to maintain safe, reliable operations, making them particularly concerned about cyberattacks. However, understanding and managing cyber-risks in OT systems can be challenging for boards, often due to the cyber-physical nature of OT and its integration with information technology (IT)."
  https://www.darkreading.com/cyber-risk/board-role-cyber-risk-management-ot-environments

New Tooling

• Kunai: Open-Source Threat Hunting Tool For Linux
  "Kunai is an open-source tool that provides deep and precise event monitoring for Linux environments. “What sets Kunai apart is its ability to go beyond simple event generation. While most security monitoring tools rely on syscalls or kernel function hooking, Kunai takes a more advanced approach by correlating events on the host and providing enriched insights. This means fewer but more meaningful events, reducing noise and the strain on log ingestion while delivering deeper visibility into system activity,” Quentin Jerome, the creator of Kunai, told Help Net Security."
  https://www.helpnetsecurity.com/2025/02/19/kunai-open-source-threat-hunting-tool-for-linux/
  https://github.com/kunai-project/kunai
• Free Diagram Tool Aids Management Of Complex ICS/OT Cybersecurity Decisions
  "Admeritia has announced the availability of a new tool designed to help organizations manage complex cybersecurity decisions related to industrial control systems (ICS) and other operational technology (OT). The newly launched tool, named Cyber Decision Diagrams (CDD), is available for free as a web-based application. The tool allows users to create simple diagrams that can enable them to more easily communicate cybersecurity thoughts and decisions."
  https://www.securityweek.com/free-diagram-tool-aids-management-of-complex-ics-ot-cybersecurity-decisions/
  https://cyber-decision-diagrams.com/
• Check Out This Free Automated Tool That Hunts For Exposed AWS Secrets In Public Repos
  "A free automated tool that lets anyone scan public GitHub repositories for exposed AWS credentials has been released. Before you say anything, yes, we're pretty sure similar programs and services are out there, but hey, where's the harm in highlighting today the fact that this sort of software is easily available? Security engineer Anmol Singh Yadav built AWS-Key-Hunter after he found more than 100 exposed AWS access keys, some with high privileges, in public repositories, "just waiting to be exploited," as he wrote in a blog about the discovery and the custom-built tool."
  https://www.theregister.com/2025/02/19/automated_tool_scans_public_repos/
  https://medium.com/@IamLucif3r/how-i-found-100-exposed-aws-keys-in-public-git-repos-b475c9089764
  https://github.com/IamLucif3r/AWS-Key-Hunter

Vulnerabilities

• Creative SVG File Upload To Local File Inclusion Vulnerability Affecting 90,000 Sites Patched In Jupiter X Core WordPress Plugin
  "On January 6th, 2025, we received a submission for an SVG Upload to Local File Inclusion vulnerability in Jupiter X Core, a WordPress plugin with more than 90,000 active installations. This vulnerability makes it possible for an authenticated attacker, with contributor privileges or higher, to upload SVG files to a vulnerable site with malicious content and then include it, and achieve remote code execution."
  https://www.wordfence.com/blog/2025/02/creative-svg-file-upload-to-local-file-inclusion-vulnerability-affecting-90000-sites-patched-in-jupiter-x-core-wordpress-plugin/
  https://www.infosecurity-magazine.com/news/wordpress-plugin-flaw-exposes/
• Chrome 133, Firefox 135 Updates Patch High-Severity Vulnerabilities
  "Google and Mozilla on Tuesday announced fresh security updates for Chrome 133 and Firefox 135 to address high-severity memory safety vulnerabilities in the popular browsers. The latest Chrome update is rolling out to Windows, macOS, and Linux with patches for two high- and one medium-severity flaw, all reported by external researchers. The first is CVE-2025-0999, a heap buffer overflow issue in the V8 JavaScript engine that could be exploited to achieve remote code execution. Google says it handed out an $11,000 bug bounty reward for this bug."
  https://www.securityweek.com/chrome-133-firefox-135-updates-patch-high-severity-vulnerabilities/
• Multiple Vulnerabilities Discovered In NVIDIA CUDA Toolkit
  "This article reviews nine vulnerabilities we recently discovered in two utilities called cuobjdump and nvdisasm, both from NVIDIA's Compute Unified Device Architecture (CUDA) Toolkit. We have coordinated with NVIDIA, and the company has released an update in February 2025 to address these issues."
  https://unit42.paloaltonetworks.com/nvidia-cuda-toolkit-vulnerabilities/

Malware

• Palo Alto Networks Tags New Firewall Bug As Exploited In Attacks
  "Palo Alto Networks warns that a file read vulnerability (CVE-2025-0111) is now being chained in attacks with two other flaws (CVE-2025-0108 with CVE-2024-9474) to breach PAN-OS firewalls in active attacks. The vendor first disclosed the authentication bypass vulnerability tracked as CVE-2025-0108 on February 12, 2025, releasing patches to fix the vulnerability. That same day, Assetnote researchers published a proof-of-concept exploit demonstrating how CVE-2025-0108 and CVE-2024-9474 could be chained together to gain root privileges on unpatched PAN-OS firewalls. A day later, network threat intel firm GreyNoise reported that threat actors had begun actively exploiting the flaws, with attempts coming from two IP addresses."
  https://www.bleepingcomputer.com/news/security/palo-alto-networks-tags-new-firewall-bug-as-exploited-in-attacks/
  https://www.darkreading.com/remote-workforce/patch-now-cisa-researchers-warn-palo-alto-flaw-exploited-wild
  https://www.greynoise.io/blog/greynoise-observes-active-exploitation-of-pan-os-authentication-bypass-vulnerability-cve-2025-0108
  https://www.securityweek.com/palo-alto-networks-confirms-exploitation-of-firewall-vulnerability/
  https://www.theregister.com/2025/02/19/palo_alto_firewall_attack/
  https://www.helpnetsecurity.com/2025/02/19/palo-alto-networks-firewalls-cve-2025-0108-cve-2024-9474-cve-2025-0111/
• ACRStealer Infostealer Exploiting Google Docs As C2
  "AhnLab SEcurity intelligence Center (ASEC) monitors the Infostealer malware disguised as illegal programs such as cracks and keygens being distributed, and publishes related trends and changes through the Ahnlab TIP and ASEC Blog posts. While the majority of the malware distributed in this manner has been the LummaC2 Infostealer, the ACRStealer Infostealer has seen an increase in distribution."
  https://asec.ahnlab.com/en/86390/
• Rhadamanthys Infostealer Being Distributed Through MSC Extension
  "AhnLab SEcurity intelligence Center (ASEC) has confirmed that Rhadamanthys Infostealer is being distributed as a file with the MSC extension. The MSC extension is an XML-based format that is executed by the Microsoft Management Console (MMC), and it can register and execute various tasks such as script code and command execution, and program execution."
  https://asec.ahnlab.com/en/86391/
• CISA And Partners Release Advisory On Ghost (Cring) Ransomware
  "Today, CISA—in partnership with the Federal Bureau of Investigation (FBI) and Multi-State Information Sharing and Analysis Center (MS-ISAC)—released a joint Cybersecurity Advisory, #StopRansomware: Ghost (Cring) Ransomware. This advisory provides network defenders with indicators of compromise (IOCs), tactics, techniques, and procedures (TTPs), and detection methods associated with Ghost ransomware activity identified through FBI investigations. Ghost actors conduct these widespread attacks targeting and compromising organizations with outdated versions of software and firmware on their internet facing services. These malicious ransomware actors are known to use publicly available code to exploit Common Vulnerabilities and Exposures (CVEs) where available patches have not been applied to gain access to internet facing servers. The known CVEs are CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207."
  https://www.cisa.gov/news-events/alerts/2025/02/19/cisa-and-partners-release-advisory-ghost-cring-ransomware
  https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-050a
  https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/
  https://therecord.media/ghost-cring-ransomware-activity-fbi-cisa-alert
• Signals Of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger
  "Google Threat Intelligence Group (GTIG) has observed increasing efforts from several Russia state-aligned threat actors to compromise Signal Messenger accounts used by individuals of interest to Russia's intelligence services. While this emerging operational interest has likely been sparked by wartime demands to gain access to sensitive government and military communications in the context of Russia's re-invasion of Ukraine, we anticipate the tactics and methods used to target Signal will grow in prevalence in the near-term and proliferate to additional threat actors and regions outside the Ukrainian theater of war."
  https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger/
  https://www.bleepingcomputer.com/news/security/russian-phishing-campaigns-exploit-signals-device-linking-feature/
  https://www.darkreading.com/mobile-security/russian-groups-target-signal-messenger-in-spy-campaign
  https://thehackernews.com/2025/02/hackers-exploit-signals-linked-devices.html
  https://therecord.media/russian-state-hackers-spy-on-ukraine-military-signal
  https://www.bankinfosecurity.com/ukrainian-signal-users-fall-to-russian-social-engineering-a-27550
  https://cyberscoop.com/russia-threat-groups-target-ukraine-signal/
  https://hackread.com/hackers-trick-users-link-device-steal-signal-messages/
  https://www.infosecurity-magazine.com/news/russian-hackers-signal-spy/
  https://www.securityweek.com/how-russian-hackers-are-exploiting-signals-linked-devices-for-real-time-spying/
• Invisible Obfuscation Technique Used In PAC Attack
  "While investigating a sophisticated phishing attack1 targeting affiliates of a major American political action committee (PAC) in early January 2025, Juniper Threat Labs observed a new JavaScript obfuscation technique. This technique was first described by a security researcher on X back in October 2024, highlighting the speed with which offensive security research can be incorporated into real-world attacks. In this post, we’ll describe this technique and provide some short code snippets that defenders can use while reverse-engineering attacks."
  https://blogs.juniper.net/en-us/threat-research/invisible-obfuscation-technique-used-in-pac-attack
  https://www.bleepingcomputer.com/news/security/phishing-attack-hides-javascript-using-invisible-unicode-trick/
• How Democratizing Threat Hunting Is Changing Mobile Security
  "In December, we published our groundbreaking investigation into mobile device threats. The public didn't just read the report—they took action, scanning over 18,000 unique devices through iVerify, revealing 11 new Pegasus detections. These latest detections reveal a clear pattern that demands attention. The availability of thousands of new scans for analysis from the business community demonstrates that Pegasus is not just a civil society problem. The victims of these new detections are mostly business executives, who have access to future business dealings, financial data, and influential professional networks."
  https://iverify.io/blog/how-democratizing-threat-hunting-is-changing-mobile-security
  https://therecord.media/pegasus-spyware-infections-iverify
• XELERA Ransomware Campaign: Fake Food Corporation Of India Job Offers Targeting Tech Aspirants
  "Seqrite Labs APT-Team has recently discovered multiple campaigns involving fake Job Descriptions related to requirements at Food Corporations of India (FCI). These are targeted towards individuals aiming for various technical job positions at FCI with a variant of ransomware known as Xelera. In this case, the malware is written in Python and packed using PyInstaller which executes on the target machine."
  https://www.seqrite.com/blog/xelera-ransomware-fake-fci-job-offers/
• Lumma Stealer Chronicles: PDF-Themed Campaign Using Compromised Educational Institutions' Infrastructure
  "The Lumma Stealer malware campaign is exploiting compromised educational institutions to distribute malicious LNK files disguised as PDFs, targeting industries like finance, healthcare, technology, and media. Once executed, these files initiate a stealthy multi-stage infection process, allowing cybercriminals to steal passwords, browser data, and cryptocurrency wallets. With sophisticated evasion techniques, including using Steam profiles for command-and-control operations, this malware-as-a-service (MaaS) threat highlights the urgent need for robust cybersecurity defenses. Stay vigilant against deceptive phishing tactics to protect sensitive information from cyber exploitation."
  https://www.cloudsek.com/blog/lumma-stealer-chronicles-pdf-themed-campaign-using-compromised-educational-institutions-infrastructure

Breaches/Hacks/Leaks

• Australian Fertility Services Giant Genea Hit By Security Breach
  "Genea, one of Australia's largest fertility services providers, disclosed that unknown attackers breached its network and accessed data stored on compromised systems. Genea issued a statement on Wednesday, saying it's "urgently investigating a cyber incident" after detecting "suspicious activity" on its network."
  https://www.bleepingcomputer.com/news/security/australian-fertility-services-giant-genea-hit-by-security-breach/
  https://www.infosecurity-magazine.com/news/australian-ivf-data-breach-cyber/

General News

• Cyber Hygiene Habits That Many Still Ignore
  "Cybersecurity advice is everywhere. We’re constantly reminded to update our passwords, enable two-factor authentication, and avoid clicking suspicious links. Yet, beneath these practical steps lie deeper cyber hygiene habits that, despite their importance, are frequently overlooked. These underlying mindsets and systemic behaviors shape the security landscape."
  https://www.helpnetsecurity.com/2025/02/19/cyber-hygiene-habits/
• Salt Typhoon Telecom Breach Remarkable For Its ‘indiscriminate’ Targeting, FBI Official Says
  "One of the most notable elements of the monumental hack of major telecommunications companies is just how “indiscriminate” it was in its pursuit of data, a top FBI official said Wednesday. The FBI has been investigating the breach, which it has blamed on Chinese government hackers commonly known as Salt Typhoon. “What we found particularly remarkable in our investigation is the gigantic and seemingly indiscriminate collection of call records and data about American people, like your friends, your family, people in your community,” Cynthia Kaiser, deputy assistant director in the bureau’s cyber division, said at the 2025 Zero Trust Summit, presented by CyberScoop."
  https://cyberscoop.com/salt-typhoon-telecom-breach-remarkable-for-its-indiscriminate-targeting-fbi-official-says/
• Edge Device Vulnerabilities Fueled Attack Sprees In 2024
  "Edge devices harboring zero-day and n-day vulnerabilities were linked to the most consequential attack campaigns last year, Darktrace said in an annual threat report released Wednesday. Darktrace’s threat researchers found the most frequent vulnerability exploits in customers’ instances of Ivanti Connect Secure and Ivanti Policy Secure appliances, along with firewall products from Fortinet and Palo Alto Networks. Cybersecurity vendors shipped products that ultimately accounted for and became the initial access vector for the majority of the most significant attack campaigns last year, the report shows."
  https://cyberscoop.com/edge-device-vulnerabilities-fuel-attack-sprees/
  https://darktrace.com/resources/annual-threat-report-2024
• Java Security: If You Ain’t Cheatin,’ You Ain’t Tryin’
  "Most industries have rules of engagement. In sports, there are referees. In business, there are regulations. In government, there are Robert’s Rules of Order. Cybersecurity is different. There are regulations, but they don’t limit how much we can defend ourselves. They focus on compliance, breach reporting, and risk management, not on dictating the strategies we use to stop attackers. Meanwhile, attackers have no such constraints."
  https://cyberscoop.com/java-applications-security-op-ed/
• ASIO Boss Warns Australian Critical Infrastructure Systems "routinely" Mapped
  "Australian critical infrastructure networks are being “routinely” targeted and “almost certainly” mapped by the cyber units of a single nation state, according to the boss of the country’s spy agency. Giving an annual threat speech, ASIO’s director-general of security Mike Burgess warned that foreign regimes are actively “pre-positioning cyber access vectors they can exploit in the future”."
  https://www.itnews.com.au/news/asio-boss-warns-australian-critical-infrastructure-systems-routinely-mapped-615140
  https://www.infosecurity-magazine.com/news/spies-eye-aukus-nuclear-submarine/
  https://therecord.media/australia-asio-report-foreign-intelligence-murder-plots
• Macs Targeted By Infostealers In New Era Of Cyberthreats
  "The latest, major threats to Mac computers can steal passwords and credit card details with delicate precision, targeting victims across the internet based on their device, location, and operating system. These are the dangers of “infostealers,” which have long plagued Windows devices but, in the past two years, have become a serious threat for Mac owners. And in 2024, one malicious program in particular is responsible for the lion’s share of infostealer activity—racking up 70% of known infostealer detections on Mac."
  https://www.malwarebytes.com/blog/apple/2025/02/macs-targeted-by-info-stealers-in-new-era-of-cyberthreats
  https://www.threatdown.com/dl-state-of-malware-2025/
• Spam And Phishing In 2024
  "27% of all emails sent worldwide and 48.57% of all emails sent in the Russian web segment were spam. 18% of all spam emails were sent from Russia. Kaspersky Mail Anti-Virus blocked 125,521,794 malicious email attachments. Our Anti-Phishing system thwarted 893,216,170 attempts to follow phishing links. Chat Protection in Kaspersky mobile solutions prevented more than 60,000 redirects via phishing links from Telegram"
  https://securelist.com/spam-and-phishing-report-2024/115536/
• How Hackers Manipulate Agentic AI With Prompt Engineering
  "The era of “agentic” artificial intelligence has arrived, and businesses can no longer afford to overlook its transformative potential. AI agents operate independently, making decisions and taking actions based on their programming. Gartner predicts that by 2028, 15% of day-to-day business decisions will be made completely autonomously by AI agents."
  https://www.securityweek.com/how-hackers-manipulate-agentic-ai-with-prompt-engineering/
• CISO Conversations: Kevin Winter At Deloitte And Richard Marcus At AuditBoard
  "Deloitte is one of the largest professional services firms in the world, providing services in audit, consulting, financial advisory, risk management, and tax. AuditBoard is a compliance and risk management firm that agreed a $3 billion acquisition by private equity firm Hg in May 2024. Kevin Winter (Global CISO at Deloitte) and Richard Marcus (CISO at AuditBoard) are top CISOs for these major global firms."
  https://www.securityweek.com/ciso-conversations-kevin-winter-at-deloitte-and-richard-marcus-at-auditboard/

อ้างอิง
Electronic Transactions Development Agency(ETDA)

เมื่อวันที่ 18 กุมภาพันธ์ 2568 Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการเผยแพร่การเพิ่มช่องโหว่ใหม่ 2 รายการในแค็ตตาล็อก ช่องโหว่อาจเป็นที่รู้จักของกลุ่มแฮกเกอร์ ซึ่งการเพิ่มนี้ขึ้นอยู่กับข้อมูลของการแสวงหาผลประโยชน์จากการโจมตีช่องโหว่ดังกล่าวนั้นได้ ช่องโหว่เหล่านี้เป็นการโจมตีบ่อยครั้งสำหรับผู้ที่ไม่ประสงค์ดีด้านภัยคุกคามทางไซเบอร์และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรนั้นได้ มีรายละเอียดดังนี้

CVE-2025-0108 Palo Alto PAN-OS Authentication Bypass Vulnerability
การหลีกเลี่ยงการตรวจสอบสิทธิ์ในซอฟต์แวร์ PAN-OS ของ Palo Alto Networks ช่วยให้ผู้โจมตีที่ไม่ได้รับการรับรองซึ่งมีสิทธิ์เข้าถึงเครือข่ายไปยังอินเทอร์เฟซเว็บการจัดการสามารถหลีกเลี่ยงการรับรองความถูกต้องซึ่งจำเป็นสำหรับอินเทอร์เฟซเว็บการจัดการของ PAN-OS และเรียกใช้สคริปต์ PHP บางตัวได้ แม้ว่าการเรียกใช้สคริปต์ PHP เหล่านี้จะไม่เปิดใช้งานการเรียกใช้โค้ดจากระยะไกล แต่ก็อาจส่งผลเสียต่อความสมบูรณ์และความลับของ PAN-OS คุณสามารถลดความเสี่ยงของปัญหานี้ได้อย่างมากโดยจำกัดการเข้าถึงอินเทอร์เฟซเว็บการจัดการให้เฉพาะที่อยู่ IP ภายในที่เชื่อถือได้เท่านั้น

CVE-2024-53704 SonicWall SonicOS SSLVPN Improper Authentication Vulnerability
ช่องโหว่การตรวจสอบสิทธิ์ที่ไม่เหมาะสมในกลไกการตรวจสอบสิทธิ์ SSLVPN ทำให้ผู้โจมตีจากระยะไกลสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ได้

อ้างอิง
https://www.cisa.gov/news-events/alerts/2025/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand