NCSA_THAICERT

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยและภัยคุกคามทางไซเบอร์พบช่องโหว่ชื่อ "GrafanaGhost" ในแพลตฟอร์ม Grafana [1] ช่องโหว่นี้ทำให้แฮกเกอร์สามารถหลอก AI ของระบบ ให้แอบส่งข้อมูลสำคัญออกไปยังเซิร์ฟเวอร์ภายนอกได้โดยที่ไม่ต้องขออนุญาต [2]

รายละเอียดลักษณะการทำงานของมัลแวร์
1.1 แฮกเกอร์จะทำการฝังคำสั่งที่เป็นอันตราย (เช่น คำหลัก error หรือ INTENT) ไว้ในชุดข้อมูลที่ระบบ AI จะต้องทำการประมวลผล เพื่อแทรกแซงและส่งผลให้ AI ละเว้นการปฏิบัติตามกฎระเบียบด้านความปลอดภัยของระบบ
1.2 แฝงลิงก์ให้เสมือนเป็นเครือข่ายภายใน อาศัยช่องโหว่ในกลไกการแสดงผลรูปภาพ โดยการใช้รูปแบบลิงก์ชนิดพิเศษเพื่อหลอกลวงซอฟต์แวร์ว่า เป็นการดึงข้อมูลรูปภาพจากเครือข่ายภายในองค์กรที่มีความปลอดภัย ซึ่งความจริงคือระบบได้ทำการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ของแฮกเกอร์
1.3 เมื่อ AI พยายามโหลดรูปภาพ ตามที่ถูกหลอก ข้อมูลสำคัญขององค์กรจะถูกแนบไปกับลิงก์และส่งให้แฮกเกอร์ทันที โดยระบบยังคงทำงานปกติและไม่มีหน้าจอแจ้งข้อผิดพลาดให้รู้ตัว
กลุ่มอุปกรณ์และระบบที่เข้าข่ายได้รับผลกระทบ
2.1เซิร์ฟเวอร์ Grafana ที่เปิดใช้งานฟีเจอร์ AI: โดยเฉพาะเวอร์ชันที่มีการใช้เครื่องมือช่วยวิเคราะห์ข้อมูลด้วย AI หรือเชื่อมต่อกับโมเดลภาษา (LLMs)
2.2 ระบบ Monitoring & Logging: เซิร์ฟเวอร์ที่ทำหน้าที่รวบรวม Log (เช่น Prometheus, Loki, หรือ Elasticsearch) ซึ่งเป็นแหล่งข้อมูลหลักที่ AI ของ Grafana เข้าไปดึงมาประมวลผล
2.3 แดชบอร์ดที่ประมวลผลข้อมูลอ่อนไหว: ระบบที่แสดงผลข้อมูลทางธุรกิจ ข้อมูลเซิร์ฟเวอร์ หรือข้อมูลส่วนบุคคลที่มีการตั้งค่าให้ AI ช่วยสรุปเนื้อหา (Summarization)
2.4 อุปกรณ์ในเครือข่ายภายใน (Intranet): เนื่องจากช่องโหว่นี้ใช้วิธีปลอมแปลงเป็น Internal Link อุปกรณ์อื่น ๆ ที่อยู่ในวงเครือข่ายเดียวกับ Grafana จึงมีความเสี่ยงที่จะถูกเข้าถึงข้อมูลหากไม่มีการกั้นโซน (Segmentation) ที่ดีพอ
รูปแบบการแพร่กระจายและการโจมตี
3.1 ซ่อนคำสั่งอันตรายในระบบ แฮกเกอร์ไม่ใช้ลิงก์หลอกลวงแบบเดิม แต่จะฝังคำสั่งอันตรายไว้ในบันทึกระบบ (Logs) เพื่อรอให้ AI เข้ามาประมวลผล
3.2 อาศัยผู้ใช้เป็นตัวกลาง การโจมตีไม่สามารถทำงานได้อัตโนมัติ แต่ต้องหลอกให้ผู้ใช้งานสั่งการ AI ซ้ำ ๆ เพื่อให้อ่านและทำตามคำสั่งใน Logs ดังกล่าว
3.3 เพิกเฉยระบบเตือนภัย การโจมตีจะสำเร็จก็ต่อเมื่อผู้ใช้งานยืนยันคำสั่งเดิม แม้ว่าระบบ AI จะขึ้นแจ้งเตือนความเสี่ยงให้ทราบแล้ว
แนวทางการป้องกัน
4.1 อัปเดตระบบทันที ควรอัปเดตระบบ Grafana ให้เป็นเวอร์ชันล่าสุดโดยด่วน เนื่องจากผู้พัฒนาได้ออกแพตช์แก้ไขช่องโหว่แล้ว
4.2 เฝ้าระวังพฤติกรรมการส่งข้อมูล ตรวจสอบระบบ AI อย่างใกล้ชิด ว่ามีความพยายามส่งข้อมูลออกไปยังเซิร์ฟเวอร์ภายนอกที่ผิดปกติหรือไม่
4.3 จำกัดการเชื่อมต่ออินเทอร์เน็ต ตั้งค่าเครือข่ายของเซิร์ฟเวอร์ Grafana ให้เชื่อมต่อออกไปภายนอกได้เฉพาะช่องทางและเว็บไซต์ที่จำเป็นจริงๆ เท่านั้น
4.4 ตรวจสอบการการแจ้งเตือน หากใช้งาน AI แล้วระบบขึ้นแจ้งเตือนว่าพบคำสั่งผิดปกติหรือมีความเสี่ยง ผู้ใช้ไม่ควรฝืนสั่งให้ AI ทำงานนั้นต่อโดยเด็ดขาด

#CyberSecurity #ThaiCERT #GrafanaGhost #เตือนภัยไซเบอร์ #AIInjection #ITAdmin #DataExfiltration

แหล่งอ้างอิง
[1] https://dg.th/pkuwojtnvl
[2] https://dg.th/59zyk68it1

GrafanaGhost AI Injection.png

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามรายงานระบุกลุ่มแรนซัมแวร์ Qilin และ Warlock ใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) โดยนำไดรเวอร์ที่มีช่องโหว่มาใช้งานบนระบบที่ถูกเจาะแล้ว เพื่อปิดการทำงานของระบบป้องกัน EDR และหลบเลี่ยงการตรวจจับก่อนดำเนินการโจมตีในขั้นถัดไป[1]

รายละเอียดภัยคุกคาม[2]
การโจมตีของกลุ่ม Qilin ใช้ไฟล์ DLL ที่เป็นจุดเริ่มต้นของกระบวนการโจมตีหลายขั้นตอนเพื่อปิดการทำงานของระบบป้องกันบนเครื่องเป้าหมาย โดยไฟล์ดังกล่าวถูกใช้ผ่านเทคนิค DLL side-loading และสามารถปิดการทำงานของ EDR ได้มากกว่า 300 รายการ จากผู้ผลิตหลายราย และใช้วิธีหลบการตรวจจับหลายรูปแบบ เช่น ลดการบันทึกเหตุการณ์ของระบบ และรันเพย์โหลดอยู่ในหน่วยความจำ เพื่อให้ตรวจจับได้ยากขึ้น
ลักษณะการโจมตีที่พบ
2.1 กลุ่ม Qilin ใช้ไดรเวอร์ที่มีช่องโหว่เพื่อช่วยให้มัลแวร์เข้าถึงระบบในระดับสูง และใช้ปิดการทำงานของ EDR ก่อนรันเพย์โหลดหลัก
2.2 กลุ่ม Warlock ใช้ไดรเวอร์ที่มีช่องโหว่ เพื่อยุติการทำงานของผลิตภัณฑ์ความปลอดภัยในระดับเคอร์เนล และยังใช้เครื่องมืออื่นร่วมด้วยเพื่อเคลื่อนย้ายภายในเครือข่าย ควบคุมระบบ และดึงข้อมูลออก
พฤติกรรมสำคัญที่ควรเฝ้าระวัง
ผู้โจมตีมักไม่รีบเข้ารหัสข้อมูลทันทีหลังเจาะระบบ แต่จะใช้เวลาอยู่ในระบบเพื่อขยายการควบคุมก่อน โดยพบการรันแรนซัมแวร์อาจเกิดขึ้นหลังการเจาะระบบครั้งแรกหลายวัน ในช่วงดังกล่าวควรเฝ้าระวังความผิดปกติ เช่น การทำงานของระบบป้องกันถูกปิดหรือหยุดทำงานโดยไม่ทราบสาเหตุ การพบไฟล์หรือไดรเวอร์ที่ไม่คุ้นเคยในระบบ รวมถึงการใช้งานเครื่องมือที่เกี่ยวข้องกับการเข้าควบคุมหรือเคลื่อนย้ายภายในเครือข่ายอย่างผิดปกติ
แนวทางการป้องกันและลดความเสี่ยง

4.1 อนุญาตเฉพาะไดรเวอร์ที่เชื่อถือได้ และควบคุมการติดตั้งไดรเวอร์อย่างเข้มงวด
4.2 เฝ้าระวังและตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับการติดตั้งไดรเวอร์
4.3 อัปเดตแพตช์ระบบและซอฟต์แวร์ด้านความปลอดภัยอย่างสม่ำเสมอ
4.4 ใช้การป้องกันหลายชั้น และติดตามพฤติกรรมผิดปกติในระบบอย่างต่อเนื่อง

แหล่งอ้างอิง

NCSA_THAICERT

แจ้งเตือนภัยคุกคามจากกลุ่มแฮกเกอร์ APT28 ใช้เทคนิคการดักจับข้อมูลเพื่อยึดครองบัญชีผู้ใช้ Microsoft 365 ขอให้ผู้ดูแลระบบยกระดับมาตรการป้องกันโดยด่วน

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ด้านความมั่นคงปลอดภัยไซเบอร์เกี่ยวกับแคมเปญการโจมตีของกลุ่มแฮกเกอร์ APT28 ซึ่งมุ่งเป้าไปยังหน่วยงานที่ใช้บริการอีเมลและระบบคลาวด์ เช่น Microsoft 365 โดยใช้เทคนิคการโจมตีแบบเปลี่ยนเส้นทางระบบชื่อโดเมน (DNS Hijacking) ร่วมกับการโจมตีแบบ Adversary-in-the-Middle (AiTM) เพื่อดักจับข้อมูลการยืนยันตัวตนและยึดครองบัญชีผู้ใช้ ทั้งนี้ ผู้ดูแลระบบควรเร่งยกระดับมาตรการป้องกัน โดยเฉพาะการตรวจสอบและตั้งค่าความปลอดภัยของอุปกรณ์เครือข่าย เพื่อป้องกันความเสียหายที่อาจเกิดขึ้น

สรุปสถานการณ์
นักวิจัยด้านความมั่นคงปลอดภัยจาก Black Lotus Labs ภายใต้บริษัท Lumen Technologies [1] พบแคมเปญการโจมตีที่เรียกว่า “FrostArmada” ซึ่งมีความเชื่อมโยงกับกลุ่ม APT28 ซึ่งเป็นที่รู้จักในชื่อ Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 และ Sednit โดยผู้โจมตีได้มุ่งเป้าไปยังอุปกรณ์เครือข่ายหรืออุปกรณ์ที่ใช้งานในสำนักงานขนาดเล็กหรือที่บ้าน (SOHO) โดยเฉพาะอุปกรณ์เราเตอร์ เพื่อทำการปรับเปลี่ยนค่า Domain Name System (DNS) ให้ชี้ไปยังเซิร์ฟเวอร์ของผู้โจมตี ส่งผลให้สามารถดักจับและเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้งานได้ ทั้งนี้ ผู้โจมตีมีการดำเนินการในลักษณะเป็นเครือข่าย (botnet) และแบ่งบทบาทการทำงานเป็นส่วนของการขยายการติดเชื้อ (Expansion) และส่วนของการดักจับข้อมูล (Credential Harvesting) เพื่อเพิ่มประสิทธิภาพในการโจมตีและการเก็บรวบรวมข้อมูลเป้าหมาย

รายงานจาก Microsoft [2] ระบุว่ากลุ่มผู้โจมตีได้ใช้เทคนิคการโจมตีแบบ Adversary-in-the-Middle (AiTM) ร่วมกับการโจมตี DNS Hijacking เพื่อดักจับข้อมูลการยืนยันตัวตนของผู้ใช้งาน โดยเฉพาะบัญชีผู้ใช้บริการ Microsoft 365 ซึ่งรวมถึงการเข้าถึงบริการอีเมลและระบบที่เกี่ยวข้อง นอกจากนี้ยังพบว่าการโจมตีดังกล่าวสามารถส่งผลกระทบได้ทั้งการใช้งานผ่านเว็บเบราว์เซอร์และแอปพลิเคชันบนเครื่องผู้ใช้ โดยในบางกรณีผู้โจมตีสามารถปลอมแปลงการตอบสนองของ DNS เพื่อบังคับให้ผู้ใช้งานเชื่อมต่อไปยังระบบของผู้โจมตี และดำเนินการดักจับข้อมูลสำคัญ เช่น รหัสผ่าน และโทเคนการยืนยันตัวตน (Authentication Token) ได้โดยที่ผู้ใช้งานอาจไม่ทราบถึงความผิดปกติดังกล่าว

รูปแบบการโจมตี
แคมเปญการโจมตีดังกล่าวมีลักษณะเป็นการโจมตีแบบหลายขั้นตอน (multi-stage attack) โดยเริ่มจากการเข้าควบคุมอุปกรณ์เครือข่าย จากนั้นจึงปรับเปลี่ยนเส้นทางการรับส่งข้อมูล และดำเนินการดักจับข้อมูลการยืนยันตัวตนของผู้ใช้งานผ่านเทคนิค Adversary-in-the-Middle (AiTM) ซึ่งอาจส่งผลให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้และระบบสำคัญ โดยมีลักษณะพฤติกรรมที่สำคัญ ดังนี้

2.1 เข้าถึงและยึดครองอุปกรณ์เครือข่ายประเภท SOHO Router ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
2.2 ปรับเปลี่ยนค่า Domain Name System (DNS) ให้ชี้ไปยังเซิร์ฟเวอร์ของผู้โจมตี
2.3 กระจายค่า DNS ที่ถูกแก้ไขไปยังอุปกรณ์ภายในเครือข่ายผ่าน DHCP
2.4 เปลี่ยนเส้นทางการเชื่อมต่อไปยังระบบของผู้โจมตี (AiTM Proxy)
2.5 ดักจับข้อมูลสำคัญ เช่น รหัสผ่าน และโทเคนการยืนยันตัวตน (Authentication Token)
2.6 ใช้ข้อมูลที่ได้เพื่อเข้าถึงระบบ คงอยู่ในระบบ และขยายการเข้าถึงไปยังระบบอื่นภายในเครือข่าย

Indicators of Compromise (IoCs) ที่เกี่ยวข้อง
จากข้อมูลของ National Cyber Security Centre (NCSC) ได้ให้รายละเอียดเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอน (TTPs) จากกลุ่มแฮกเกอร์ APT28 [3] ผู้ดูแลระบบควรนำไปใช้เป็นแนวทางในการตรวจสอบและยกระดับมาตรการป้องกัน ดังนี้

3.1 ค่า DNS บนอุปกรณ์เครือข่ายถูกเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
3.2 การเชื่อมต่อไปยัง DNS Server หรือ IP Address ที่ไม่รู้จักหรือไม่น่าเชื่อถือ
3.3 การถูกเปลี่ยนเส้นทาง (redirect) ไปยังหน้าเข้าสู่ระบบที่ไม่ใช่โดเมนจริงของ Microsoft 365
3.4 การปรากฏการแจ้งเตือน TLS/Certificate ผิดปกติระหว่างการใช้งานระบบ
3.5 การเข้าสู่ระบบจาก IP Address หรือประเทศที่ไม่เคยมีการใช้งานมาก่อน
3.6 การใช้งานบัญชีผู้ใช้หรือ Token ในลักษณะที่ผิดปกติ
3.7 การตรวจพบพฤติกรรมการเชื่อมต่อผ่าน Proxy หรือ Adversary-in-the-Middle (AiTM) โดยไม่ทราบสาเหตุ

อุปกรณ์และระบบที่ได้รับผลกระทบ
4.1 อุปกรณ์เราเตอร์ TP-Link (สามารถตรวจสอบรุ่นที่ได้รับผลกระทบได้จาก IoCs)
4.2 ระบบอีเมลและบริการคลาวด์ที่เกี่ยวข้องกับบัญชีผู้ใช้ Microsoft 365
4.3 ระบบอีเมลภายในองค์กร (On-premises mail servers)
4.4 ระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต (Internet-facing services)
แนวทางการแก้ไขชั่วคราว (Workaround)
5.1 เปิดใช้งาน Multi-Factor Authentication (MFA)
5.2 ตั้งค่า Account Lockout / Timeout เมื่อ login ผิดหลายครั้ง
5.3 จำกัด IP หรือ Geo-location ที่สามารถเข้าถึงระบบ
5.4 ปิดหรือจำกัดการเข้าถึงจาก VPN / Tor (หากไม่จำเป็น)
5.5 อัปเดตระบบให้เป็นเวอร์ชันล่าสุดโดยทันที
5.6 ตรวจสอบว่าระบบไม่มีซอฟต์แวร์ที่หมดอายุ (End-of-life)
คำแนะนำด้านความปลอดภัยเพิ่มเติม
6.1 ใช้แนวคิด Zero Trust Architecture
6.2 ตรวจสอบ Log การเข้าใช้งานอย่างสม่ำเสมอ
6.3 ทำ Threat Hunting เพื่อค้นหาพฤติกรรมต้องสงสัย
6.4 ใช้ระบบตรวจจับความผิดปกติ (Anomaly Detection)
6.6 แยกเครือข่าย (Network Segmentation) เพื่อลดความเสียหาย
6.7 จัดทำนโยบายรหัสผ่านที่รัดกุม
6.8 อบรมผู้ใช้งานเกี่ยวกับภัยด้านไซเบอร์
แหล่งอ้างอิง
[1] https://dg.th/yrsjbwotpv
[2] https://dg.th/vgerjcqmb8
[3] https://dg.th/urzge1hob6

NCSA_THAICERT

Industrial Sector

- Mitsubishi Electric GENESIS64 And ICONICS Suite Products
  "Successful exploitation of these vulnerabilities could allow a local attacker to disclose SQL Server credentials used by the affected products and use them to disclose, tamper with, or destroy data, or to cause a denial-of-service (DoS) condition on the system."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-097-01

Vulnerabilities

Flowise AI Agent Builder Under Active CVSS 10.0 RCE Exploitation; 12,000+ Instances Exposed
"Threat actors are exploiting a maximum-severity security flaw in Flowise, an open-source artificial intelligence (AI) platform, according to new findings from VulnCheck. The vulnerability in question is CVE-2025-59528 (CVSS score: 10.0), a code injection vulnerability that could result in remote code execution. "The CustomMCP node allows users to input configuration settings for connecting to an external MCP (Model Context Protocol) server," Flowise said in an advisory released in September 2025. "This node parses the user-provided mcpServerConfig string to build the MCP server configuration. However, during this process, it executes JavaScript code without any security validation.""
https://thehackernews.com/2026/04/flowise-ai-agent-builder-under-active.html
https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-3gcm-f6qx-ff7p
https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/
https://www.securityweek.com/critical-flowise-vulnerability-in-attacker-crosshairs/
https://securityaffairs.com/190471/security/attackers-exploit-critical-flowise-flaw-cve-2025-59528-for-remote-code-execution.html
50,000 WordPress Sites Affected By Arbitrary File Upload Vulnerability In Ninja Forms – File Upload WordPress Plugin
"On January 8th, 2026, we received a submission for an Arbitrary File Upload vulnerability in Ninja Forms – File Upload, a WordPress plugin with an estimated 50,000 active installations. This vulnerability makes it possible for an
https://www.wordfence.com/blog/2026/04/50000-wordpress-sites-affected-by-arbitrary-file-upload-vulnerability-in-ninja-forms-file-upload-wordpress-plugin/
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-ninja-forms-wordpress-plugin/
One Megabyte To Root: How a Size Check Broke Docker’s Last Line Of Defense
"Your Docker security policy can be silently bypassed with a single HTTP request. An attacker pads a container creation request to over 1MB, and Docker's authorization middleware drops the body before your security plugin ever sees it. The plugin allows the request because it sees nothing to block. The Docker daemon processes the full request and creates a privileged container with root access to the host: your AWS credentials, SSH keys, Kubernetes configs, and everything else on the machine. This works against every AuthZ plugin in the ecosystem (OPA, Prisma Cloud, Casbin, custom). We confirmed it against Docker Engine 27.5.1. Patched in 29.3.1."
https://www.cyera.com/research/one-megabyte-to-root-how-a-size-check-broke-dockers-last-line-of-defense
https://thehackernews.com/2026/04/docker-cve-2026-34040-lets-attackers.html
GrafanaGhost: The Phantom Stealing Your Data
"At Noma, our mission is simple: identify and reduce emerging AI risk before it impacts your business. Following our discoveries of ForcedLeak, GeminiJack, and DockerDash, the Noma Labs Team has identified a new critical vulnerability: GrafanaGhost. This exploit enables silent exfiltration of sensitive business data in Grafana. By bypassing the client-side protections and security guardrails that restrict external data requests, GrafanaGhost allows an attacker to bridge the gap between your private data environment and an external server. Because the exploit ignores model restrictions and operates autonomously, sensitive enterprise data can be leaked silently in the background."
https://noma.security/blog/grafana-ghost/
https://www.darkreading.com/application-security/grafana-patches-ai-bug-leaked-user-data
https://cyberscoop.com/grafanaghost-grafana-prompt-injection-vulnerability-data-exfiltration/
https://hackread.com/grafanaghost-vulnerability-data-theft-via-ai-injection/
https://www.infosecurity-magazine.com/news/grafanaghost-silent-data/
https://www.securityweek.com/grafanaghost-attackers-can-abuse-grafana-to-leak-enterprise-data/
Severe StrongBox Vulnerability Patched In Android
"The latest Android security updates address only two vulnerabilities: a critical denial-of-service (DoS) issue, and a StrongBox flaw whose impact does not appear to have been disclosed. The DoS vulnerability is tracked as CVE-2026-0049 and it affects Android’s Framework component. The weakness can be exploited by a local attacker with no additional execution privileges and without user interaction to cause a DoS condition. The second vulnerability affects StrongBox, Android’s hardware-backed secure keystore that adds a higher level of protection for cryptographic keys."
https://www.securityweek.com/severe-strongbox-vulnerability-patched-in-android/
Cracks In The Bedrock: Escaping The AWS AgentCore Sandbox
"When researching the boundaries of cloud services, two of the main aspects that come to mind are network and identity. In this two-part series, we present our research into the boundaries and resilience of Amazon Bedrock AgentCore. In this first part, we explore how AgentCore’s Code Interpreter sandbox network isolation mode could be bypassed in a way that allows sending and receiving of data from external endpoints via DNS tunneling. In the second part, we explore the identity side, and how an attacker can leverage weaknesses in default identities and permissions to compromise other AgentCore agents within an AWS account and exfiltrate sensitive data from other services."
https://unit42.paloaltonetworks.com/bypass-of-aws-sandbox-network-isolation-mode/

Malware

- US Warns Of Iranian Hackers Targeting Critical Infrastructure
  "Iranian-linked hackers are targeting Internet-exposed Rockwell/Allen-Bradley programmable logic controllers (PLCs) on the networks of U.S. critical infrastructure organizations. The warning came earlier today in the form of a joint advisory authored by the FBI, CISA, NSA, the Environmental Protection Agency (EPA), Department of Energy (DOE), and the United States Cyber Command – Cyber National Mission Force (CNMF). The authoring agencies said that these ongoing attacks have targeted organizations across multiple U.S. critical infrastructure sectors (including Government Services and Facilities, Water and Wastewater Systems, and Energy), and have resulted in financial losses and operational disruptions since March 2026."
  https://www.bleepingcomputer.com/news/security/us-warns-of-iranian-hackers-targeting-critical-infrastructure/
  https://www.ic3.gov/CSA/2026/260407.pdf
  https://therecord.media/fbi-pentagon-warn-iran-hacking-groups-target-ot
  https://cyberscoop.com/iranian-hackers-cyberattacks-us-energy-water-infrastructure-plc-scada-warning/
  https://www.theregister.com/2026/04/07/iran_hackers_disrupting_us_water_energy/
**https://www.bankinfosecurity.com/us-critical-infrastructure-facing-iranian-linked-ot-threats-a-31360
Authorities Disrupt Router DNS Hijacks Used To Steal Microsoft 365 Logins**
"An international operation from law enforcement authorities in partnership with private companies has disrupted FrostArmada, an APT28 campaign hijacking local traffic from MikroTik and TP-Link routers to steal Microsoft account credentials. The Russian threat group APT28, also tracked as Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754, and Sednit, has been linked to Russia's General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS) military unit 26165. In the FrostArmada attacks, the hackers compromised mainly small office/home office (SOHO) routers and altered the domain name system (DNS) settings to point to virtual private servers (VPS) under their control, which acted as DNS resolvers."
https://www.bleepingcomputer.com/news/security/authorities-disrupt-dns-hijacks-used-to-steal-microsoft-365-logins/
https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-dns-hijacking-network-controlled
https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/
APT28 Exploit Routers To Enable DNS Hijacking Operations
"Russian cyber actors APT28 have been exploiting routers to overwrite Dynamic Host Configuration Protocol (DHCP)/Domain Name System (DNS) settings to redirect traffic through attacker-controlled DNS servers. Resulting malicious DNS resolutions enable adversary-in-the-middle (AitM) attacks that harvest passwords, OAuth tokens and other credentials for web and email related services. This puts organisations at risk of credential theft, data manipulation and broader compromise. The DNS hijacking operations are believed to be opportunistic in nature, with the actor targeting a wide pool of victims and then likely filtering down for users of potential intelligence value at each stage of the exploitation chain."
https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations
https://thehackernews.com/2026/04/russian-state-linked-apt28-exploits.html
https://therecord.media/uk-exposes-russian-cyber-unit-hacking-home-routers
https://www.bankinfosecurity.com/russian-hackers-hit-soho-routers-in-cyberespionage-campaign-a-31354
https://cyberscoop.com/forest-blizzard-apt28-routers-espionage-campaign-operation-masquerade/
https://www.helpnetsecurity.com/2026/04/07/russian-hackers-router-hijacking-dns-credential-theft/
https://www.infosecurity-magazine.com/news/russia-apt28-hijack-routers-uk-ncsc/
https://www.theregister.com/2026/04/07/russia_fancy_bear_ncsc_router_attack/
The Trojan Horse Of Cybercrime: Weaponizing SaaS Notification Pipelines
"Recent telemetry indicates an increase in threat actors leveraging the automated notification infrastructure of legitimate Software-as-a-Service (SaaS) platforms to facilitate social engineering campaigns. By embedding malicious lures within system-generated commit notifications, attackers bypass traditional reputation-based email security filters. This Platform-as-a-Proxy (PaaP) technique exploits the implicit trust organizations place in traffic originating from verified SaaS providers, effectively weaponizing legitimate infrastructure to bypass standard email authentication protocols. Talos' analysis explores how attackers abuse the notification pipelines of platforms like GitHub and Atlassian to facilitate credential harvesting and social engineering."
https://blog.talosintelligence.com/weaponizing-saas-notification-pipelines/
AI-Enabled Device Code Phishing Campaign Exploits OAuth Flow For Account Takeover
"A phishing campaign that bypasses the standard 15-minute expiration window through automation and dynamic code generation, leveraging the OAuth Device Code Authentication flow to compromise organizational accounts at scale, has been observed by the Microsoft Defender Security Research team. The campaign uses AI-assisted infrastructure and end-to-end automation."
https://www.helpnetsecurity.com/2026/04/07/microsoft-device-code-phishing-campaign/
https://www.microsoft.com/en-us/security/blog/2026/04/06/ai-enabled-device-code-phishing-campaign-april-2026/
https://www.theregister.com/2026/04/07/microsoft_device_code_phishing/
Hackers Are Attempting To Turn ComfyUI Servers Into a Cryptomining Proxy Botnet
"On March 12, 2026, we became aware of an open directory (77[.]110[.]96[.]200 (Censys)) on a known bulletproof hosting provider (AEZA) that had been flagged as suspicious by an internal system. Over the following days, the directory rapidly grew from just a handful of files to over a hundred, indicating active development of an unknown toolset. Our analysis showed that the individual was conducting Internet-wide scans for exposed ComfyUI instances and exploiting a misconfiguration that allowed arbitrary code execution through custom nodes. Compromised hosts were used to deploy cryptocurrency miners and what looks to be a Hysteria v2 VPN node, effectively enrolling them into a controlled proxy network; all of which appeared to be centrally managed through a web-based command-and-control dashboard."
https://censys.com/blog/comfyui-servers-cryptomining-proxy-botnet/
https://thehackernews.com/2026/04/over-1000-exposed-comfyui-instances.html
Cyberattack On Telecom Giant Rostelecom Disrupts Internet Services Across Russia
"A “large-scale” distributed denial-of-service (DDoS) attack targeted the network of Russian state-run telecom giant Rostelecom on Monday evening, temporarily disrupting online banking, government platforms and other digital services across dozens of cities. Rostelecom told state-owned media the attack was quickly contained, adding the disruption to internet services was a consequence of emergency filtering introduced to mitigate the attack. DDoS attacks overwhelm websites and online services with large volumes of junk traffic, making them temporarily unavailable to legitimate users."
https://therecord.media/rostelecom-cyberattack-disrupts-russian-internet-access
- Claude Code Packaging Error Remains a Lure In An Active Campaign: What Defenders Should Do
  "TrendAI Research is continuously monitoring an active campaign that continues to leverage the packaging error in  Anthropic's Claude Code npm release to distribute Vidar, GhostSocks, and PureLog Stealer payloads. The distribution hub for the leaked Claude Code brand lure campaign was identified as https://github[.]com/leaked-claude-code/leaked-claude-code. It is operated by a GitHub account identified as idbzoomh1, who used the legitimate Claude Code source map leak incident as a lure to deliver payloads via a release asset.  A previous account, idbzoomh, has been blocked by GitHub. As of publishing there are no other identified repositories connected to the campaign; TrendAI Research will update this blog in the event of new findings."
  https://www.trendmicro.com/en_us/research/26/d/claude-code-remains-a-lure-what-defenders-should-do.html

Breaches/Hacks/Leaks

Wynn Resorts Says 21,000 Employees Affected By ShinyHunters Hack
"High-end casino and hotel operator Wynn Resorts says more than 21,000 individuals are affected by the recently disclosed data breach. Wynn Resorts confirmed in late February that hackers had obtained employee data. The admission came after the notorious ShinyHunters cybercrime group claimed to have stolen more than 800,000 records containing personally identifiable information, including SSNs."
https://www.securityweek.com/wynn-resorts-says-21000-employees-affected-by-shinyhunters-hack/
Snowflake Customers Hit In Data Theft Attacks After SaaS Integrator Breach
"Over a dozen companies have suffered data theft attacks after a SaaS integration provider was breached and authentication tokens stolen. While numerous cloud storage and SaaS vendors were targeted using the stolen tokens, BleepingComputer has learned that the majority of the data theft attacks targeted the cloud data platform Snowflake. Snowflake confirmed "unusual activity" to BleepingComputer, stating that a small number of its customers were impacted."
https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/
Massachusetts Hospital Turning Ambulances Away After Cyberattack
"A cyberattack on a prominent hospital system in Massachusetts has been forced to turn away ambulances and deploy down-time procedures. Signature Healthcare and Signature Healthcare Brockton Hospital said on Monday that the cyber incident is impacting many of their information systems. Officials at the hospital said they are working with outside experts to investigate the incident and restore downed systems. Inpatient, walk-in emergency services and scheduled surgeries are still being conducted, but chemotherapy infusion services for cancer patients were cancelled on Tuesday."
https://therecord.media/massachusetts-hospital-turning-ambulances-away-cyberattack
https://www.bankinfosecurity.com/mass-hospital-diverting-ambulances-as-deals-attack-a-31356
Cyberattack Hits Northern Ireland’s Centralized School Network, Disrupting Access For Thousands
"A cyberattack on a centralized school IT network in Northern Ireland has disrupted access to educational systems for hundreds of thousands of students, with authorities still working to fully restore services and determine whether any personal data was compromised. The Education Authority (EA), which oversees school support services in Northern Ireland, said in an official statement it became aware of the incident affecting the “C2K” system last week and took immediate steps to contain the breach, including shutting down access to the system."
https://therecord.media/cyberattack-hits-northern-ireland-schools

General News

The Case For Fixing CWE Weakness Patterns Instead Of Patching One Bug At a Time
"In this Help Net Security interview, Alec Summers, MITRE CVE/CWE Project Lead, discusses how CWE is moving from a background reference into active use in vulnerability disclosure. More CVE records now include CWE mappings from CNAs, which tends to produce more precise root-cause data. Automation tools help analysts map weaknesses faster, but can reinforce bad patterns if trained on poor examples. Summers argues that fixing weakness patterns reduces recurring work for security teams, even those operating on tight budgets. The core problem is framing: the industry defaults to vulnerability language, while CWE asks teams to focus on what made the bad outcome possible in the first place."
https://www.helpnetsecurity.com/2026/04/07/alec-summers-mitre-cwe-vulnerability-mapping/
Google Study Finds LLMs Are Embedded At Every Stage Of Abuse Detection
"Online platforms are running large language models at every stage of LLM content moderation, from generating training data to auditing their own systems for bias. Researchers at Google mapped how this is happening across what the authors call the Abuse Detection Lifecycle, a four-stage framework covering labeling, detection, review and appeals, and auditing. Earlier moderation systems, built on models like BERT and RoBERTa fine-tuned on static hate-speech datasets, could identify explicit slurs with reasonable accuracy. They struggled with sarcasm, coded language, and culturally specific abuse. LLMs address some of those gaps through contextual reasoning, but they introduce new operational and governance problems at each stage they enter."
https://www.helpnetsecurity.com/2026/04/07/google-llm-content-moderation/
https://arxiv.org/pdf/2604.00323
Lies, Damned Lies, And Cybersecurity Metrics
"Despite years of increased spending, investments in more tooling, and more talent flooding into the industry, cybersecurity outcomes seem to be getting worse. During a panel discussion in Las Vegas last month, a group of cybersecurity leaders said the problem runs deeper than attackers or technology. The panel, titled "Hard Truths in Cybersecurity: Fear, Liability, and the Industry's Biggest Lies," focused on what's broken in cybersecurity. "Every year, we do more, and every year, the results get worse," said Andrew Rubin, CEO of Illumio. "The number of breaches, the size of the breaches, and the economic losses have gone up.""
https://www.darkreading.com/cyber-risk/lies-damned-lies-cybersecurity-metrics
AI Agents And Non-Human Identities Creating Critical Security Gaps, Report
"Businesses are rushing to adopt automation, but they are leaving a significant security gap in their infrastructure as new data suggests this technological race is moving much faster than the security needed to protect it. On 7 April 2026, password security firm Keeper Security released a report at the RSA Conference in San Francisco, according to which many companies are failing to manage non-human identities (NHIs). These are basically software-based assets, such as service accounts, API keys, and AI-powered tools, that allow system-to-system interactions without any human involvement."
https://hackread.com/ai-agents-non-human-identities-security-gaps/
Anthropic Unveils ‘Claude Mythos’ – A Cybersecurity Breakthrough That Could Also Supercharge Attacks
"Anthropic may have just announced the future of AI – and it is both very exciting and very, very scary. Mythos is the Ancient Greek word that eventually gave us ‘mythology’. It is also the name for Anthropic’s latest foundational AI Model: it evokes the connective tissue that links together knowledge and ideas. Industry excitement over Anthropic’s Claude Mythos began at the end of March 2026 when Fortune magazine published information on an upcoming Anthropic development. The information came from a leak of almost 3,000 files from a misconfigured CMS. Anthropic confirmed the details."
https://www.securityweek.com/anthropic-unveils-claude-mythos-a-cybersecurity-breakthrough-that-could-also-supercharge-attacks/
https://www.theregister.com/2026/04/07/anthropic_all_your_zerodays_are_belong_to_us/
https://www.bankinfosecurity.com/anthropic-calls-its-new-model-too-dangerous-to-release-a-31361
The New Rules Of Engagement: Matching Agentic Attack Speed
"The cybersecurity industry has been drowning in waves of speculation about the impact of AI-enabled attacks since ChatGPT was launched. Today, that speculation has come crashing down. AI-enabled cyberwarfare isn’t coming, it’s here. In September 2025, Anthropic reported the first documented case of a large-scale cyberattack executed without substantial human intervention. Additionally, Armis’ 2026 State of Cyberwarfare Report (PDF) found that 92% of IT decision-makers in the U.S. are concerned about the impact of cyberwarfare on their organizations, with 64% reporting that they have already been impacted by an AI-generated or AI-led attack over the last 12 months."
https://www.securityweek.com/the-new-rules-of-engagement-matching-agentic-attack-speed/
https://media.armis.com/rp-state-of-cyberwarfare-2026-en.pdf

อ้างอิง
Electronic Transactions Development Agency (ETDA)

NCSA_THAICERT

เทคนิค GPUBreach ใช้ GPU Bit-flips ยกระดับสิทธิ์ยึดระบบได.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

พบระบบ F5 BIG-IP APM กว่า 14,000 ระบบยังเปิดเผยออนไลน์ .png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

เยอรมนีเผยโฉมหน้าหัวหน้ากลุ่มแรนซัมแวร์ G.png

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

เมื่อวันที่ 6 เมษายน 2026 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 1 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

CVE-2026-35616 - Fortinet FortiClient EMS Improper Access Control Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

NCSA_THAICERT

Healthcare Sector

Shadow AI In Healthcare Is Here To Stay
"The healthcare industry must get ahead of pervasive shadow AI risks that only exacerbate recovery challenges when ransomware and other disruptive cyberattacks inevitably hit. Physicians, doctors, and clinicians use unsanctioned artificial intelligence (AI) tools and chatbots to boost efficiency in a job where shaving a second off could mean saving someone's life. But security teams can't monitor for potentially damaging threats if they don't know the tools are running in the environment; hence the term "shadow AI.""
https://www.darkreading.com/cyber-risk/shadow-ai-in-healthcare-is-here-to-stay

Vulnerabilities

CISA Adds One Known Exploited Vulnerability To Catalog
"CISA has added one new vulnerability to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
CVE-2026-35616 - Fortinet FortiClient EMS Improper Access Control Vulnerability"
https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-fortinet-flaw-exploited-in-attacks-by-friday/
https://therecord.media/singapore-us-warn-of-fortinet-bug-exploited
https://www.theregister.com/2026/04/06/forticlient_ems_bug_exploited/
New GPUBreach Attack Enables System Takeover Via GPU Rowhammer
"A new attack, dubbed GPUBreach, can induce Rowhammer bit-flips on GPU GDDR6 memories to escalate privileges and lead to a full system compromise. GPUBreach was developed by a team of researchers at the University of Toronto, and full details will be presented at the upcoming IEEE Symposium on Security & Privacy on April 13 in Oakland. The researchers demonstrated that Rowhammer-induced bit flips in GDDR6 can corrupt GPU page tables (PTEs) and grant arbitrary GPU memory read/write access to an unprivileged CUDA kernel."
https://www.bleepingcomputer.com/news/security/new-gpubreach-attack-enables-system-takeover-via-gpu-rowhammer/
https://gpubreach.ca/
Disgruntled Researcher Leaks “BlueHammer” Windows Zero-Day Exploit
"Exploit code has been released for an unpatched Windows privilege escalation flaw reported privately to Microsoft, allowing attackers to gain SYSTEM or elevated administrator permissions. Dubbed BlueHammer, the vulnerability was published by a security researcher discontent with how Microsoft’s Security Response Center (MSRC) handled the disclosure process. Since, the security issue has no official patch and there is no update to address it, the flaw is considered a zero-day by Microsoft's definition."
https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/
https://deadeclipse666.blogspot.com/2026/04/public-disclosure.html
AI Agents Found Vulns In This Popular Linux And Unix Print Server
"In the latest chapter on leaky CUPS, a security researcher and his band of bug-hunting agents have found two flaws that can be chained to allow an unauthenticated attacker to remotely execute code and achieve root file overwrite on the network. CUPS - or the Common Unix Printing System, as it is less commonly known - is the standard way to submit files for printing over Linux and other Unix-like systems. It's also a favorite target for security researchers because a) making printers do bad things is fun, and b) as the default printing system for Apple device operating systems and most Linux distributions, any CUPS security flaw has a wide blast radius."
https://www.theregister.com/2026/04/06/ai_agents_cups_server_rce/
https://heyitsas.im/posts/cups/

Malware

Storm-1175 Focuses Gaze On Vulnerable Web-Facing Assets In High-Tempo Medusa Ransomware Operations
"The financially motivated cybercriminal actor tracked by Microsoft Threat Intelligence as Storm-1175 operates high-velocity ransomware campaigns that weaponize N-days, targeting vulnerable, web-facing systems during the window between vulnerability disclosure and widespread patch adoption. Following successful exploitation, Storm-1175 rapidly moves from initial access to data exfiltration and deployment of Medusa ransomware, often within a few days and, in some cases, within 24 hours. The threat actor’s high operational tempo and proficiency in identifying exposed perimeter assets have proven successful, with recent intrusions heavily impacting healthcare organizations, as well as those in the education, professional services, and finance sectors in Australia, United Kingdom, and United States."
https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/
https://www.bleepingcomputer.com/news/security/microsoft-links-medusa-ransomware-affiliate-to-zero-day-attacks/
https://therecord.media/medusa-ransomware-group-zero-days-microsoft
Drift $280M Crypto Theft Linked To 6-Month In-Person Operation
"The Drift Protocol says that the $280+ million hack it suffered last week was the result of a long-term, carefully planned operation that included building "a functioning operational presence inside the Drift ecosystem." On April 1st, the Solana-based trading platform detected unusual activity that was followed by confirmation that funds had been lost in a sophisticated attack that allowed hijacking of the Security Council administrative powers. Blockchain intelligence firms Elliptic and TRM Labs attributed the heist to North Korean hackers, who took about 12 minutes to drain user assets."
https://www.bleepingcomputer.com/news/security/drift-280m-crypto-theft-linked-to-6-month-in-person-operation/
https://www.elliptic.co/blog/drift-protocol-exploited-for-286-million-in-suspected-dprk-linked-attack
https://www.trmlabs.com/resources/blog/north-korean-hackers-attack-drift-protocol-in-285-million-heist
https://hackread.com/north-korean-hackers-trading-firm-drift-protocol/
https://www.securityweek.com/north-korean-hackers-target-high-profile-node-js-maintainers/
Weaponizing Fear: Iran Conflict-Themed Phishing Uses Fake Emergency Alerts
"War in the modern era extends far beyond the physical battlefield. The ongoing conflict in the Middle East involving the United States, Israel, and Iran continues to generate widespread fear and uncertainty, particularly among civilians in affected and neighboring regions. This climate of heightened anxiety creates ideal conditions for cyber threats, as malicious actors exploit fear-driven narratives to target individuals through digital attacks such as phishing and disinformation campaigns. The Cofense Phishing Defense Center (PDC) has recently identified a phishing campaign that impersonates a government emergency alert, referencing entities such as the Ministry of Interior and Civil Defense."
https://cofense.com/blog/weaponizing-fear-iran-conflict-themed-phishing-uses-fake-emergency-alerts
https://hackread.com/missile-alert-phishing-iran-us-israel-microsoft-logins/
Six Accounts, One Actor: Inside The Prt-Scan Supply Chain Campaign
"On April 2, 2026, security researcher Charlie Eriksen publicly identified an automated campaign exploiting GitHub's pull_request_target workflow trigger. The attacker, operating under the account ezmtebo, opened over 475 malicious PRs in 26 hours targeting repositories belonging to both prominent organizations and hobbyists. This attacker is reminiscent of hackerbot-claw, the AI powered CI/CD attacker that used five different exploitation methods across seven successful high profile attacks."
https://www.wiz.io/blog/six-accounts-one-actor-inside-the-prt-scan-supply-chain-campaign
https://www.darkreading.com/application-security/ai-assisted-supply-chain-attack-targets-github
How LiteLLM Turned Developer Machines Into Credential Vaults For Attackers
"The most active piece of enterprise infrastructure in the company is the developer workstation. That laptop is where credentials are created, tested, cached, copied, and reused across services, bots, build tools, and now local AI agents. In March 2026, the TeamPCP threat actor proved just how valuable developer machines are. Their supply chain attack on LiteLLM, a popular AI development library downloaded millions of times daily, turned developer endpoints into systematic credential harvesting operations. The malware only needed access to the plaintext secrets already sitting on disk."
https://thehackernews.com/2026/04/how-litellm-turned-developer-machines.html

General News

German Authorities Identify REvil And GangCrab Ransomware Bosses
"The Federal Police in Germany (BKA) has identified two Russian nationals as the leaders of GandCrab and REvil ransomware operations between 2019 and 2021. According to BKA's disclosure, 31-year-old Daniil Maksimovich Shchukin and 43-year-old Anatoly Sergeevitsch Kravchuk acted as the heads of the two ransomware groups "from at least the beginning of 2019 until at least July 2021." Shchukin hid behind the monikers UNKN/UNKNOWN for years, posting on cybercrime forums and speaking as a representative of the ransomware operation."
https://www.bleepingcomputer.com/news/security/german-authorities-identify-revil-and-gangcrab-ransomware-bosses/
https://thehackernews.com/2026/04/bka-identifies-revil-leaders-behind-130.html
https://therecord.media/german-police-unmask-suspects-linked-revil-gandcrab
https://securityaffairs.com/190401/cyber-crime/bka-unmasks-two-revil-ransomware-operators-behind-130-german-attacks.html
UK Businesses Are Being Targeted Through Their Middle East Supply Chains — What To Do Now
"The conversation around cyber risk in the UK has shifted. It is no longer confined to domestic networks, internal systems, or even direct attacks on British infrastructure. The weak link sits thousands of miles away, embedded within third-party vendors, logistics partners, and digital dependencies across the Middle East. This growing exposure has created a new layer of Middle East supply chain risk, one that is proving difficult to monitor and even harder to control."
https://cyble.com/blog/middle-east-supply-chain-risk-uk-cyber-threats/
OWASP GenAI Data Security Risks & Mitigations 2026
"The OWASP GenAI Data Security Risks and Mitigations 2026 guide provides a critical, forward-looking analysis of the unique data security challenges posed by the rapid, widespread adoption of Generative AI (GenAI) across enterprise environments, anticipating the landscape by 2026. This comprehensive guide moves beyond traditional software security paradigms to address the novel attack surfaces that emerge when systems process and generate information at an unprecedented scale. The paper establishes a foundational, open-source framework for securing GenAI systems, focusing intensely on the data layer—from initial training and fine-tuning datasets to user prompts and final model outputs. Security professionals must proactively integrate AI-specific security testing, constant monitoring, and robust validation from the earliest stages of model development through to deployment. Adopting and adapting a comprehensive security framework will be essential for organizations to safely harness the revolutionary capabilities of GenAI while effectively managing its profound data security risks by 2026."
https://genai.owasp.org/resource/owasp-genai-data-security-risks-mitigations-2026/
https://genai.owasp.org/download/53429/?tmstv=1773811493
https://www.darkreading.com/application-security/owasp-genai-security-project-update-matrix
CISOs Grapple With AI Demands Within Flat Budgets
"Security spending continues to edge upward across large organizations, though the changes remain gradual and tightly managed. The 2026 RH-ISAC CISO Benchmark reflects a steady environment where budgets expand in small steps, even as AI becomes a routine part of security operations. Spending levels increased during 2025 across both IT and security. Average IT spend as a share of revenue rose to 3.9% from 3.2% the year before. Security spend followed a similar path, reaching 0.75% of revenue, up from 0.57%. Security’s share of the IT budget moved slightly to 5.8%."
https://www.helpnetsecurity.com/2026/04/06/rh-isac-enterprise-security-spending-report/
- Google DeepMind Researchers Map Web Attacks Against AI Agents
  "Malicious web content can be used to manipulate, deceive, and exploit autonomous AI agents navigating the internet, Google DeepMind researchers show. The researchers have identified six types of attacks against AI agents that can be mounted via web content to inject malicious context and trigger unexpected behavior. Web content, they explain in a research paper, allows attackers to set up ‘AI Agent Traps’ that weaponize the agents’ capabilities against themselves, allowing attackers to promote products, exfiltrate data, or disseminate information at scale."
  https://www.securityweek.com/google-deepmind-researchers-map-web-attacks-against-ai-agents/
  https://papers.ssrn.com/sol3/papers.cfm?abstract_id=6372438
FBI: Cyber Fraud Surges To $17.6 Billion In Losses As Scams, Crypto Theft Soar
"Cyber-enabled fraud accounted for the overwhelming majority of all losses reported to the FBI’s Internet Crime Complaint Center (IC3) in 2025, with a staggering $17.6 billion stolen. The center’s annual report, released on Monday, offers a snapshot of the law enforcement agency’s myriad efforts to combat digital threats, especially ransomware, which increasingly harm individuals, businesses and U.S. critical infrastructure. Cyber-enabled fraud was behind 85% of all losses reported to the hub in 2025 and constituted 45% of the 1,008,597 complaints it received overall."
https://therecord.media/cyber-fraud-surges-to-17-billion-fbi-ic3
https://www.ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
First Stalkerware Maker Prosecuted Since 2014 Receives No Jail Time
"The first stalkerware manufacturer convicted in the U.S. since 2014 received no jail time at his Friday sentencing. Bryan Fleming, founder of pcTattletale, was ordered to pay a $5,000 fine by a San Diego federal judge and will spend no time in prison beyond the one day he already served. In January, he pleaded guilty to one count of manufacturing, distributing, possessing and advertising wire, oral or electronic communication intercepting devices."
https://therecord.media/stalkerware-maker-receives-no-jail-time
https://cyberscoop.com/pctattletale-stalkerware-maker-sentence-includes-fine-supervised-release/
Understanding Current Threats To Kubernetes Environments
"The rapid adoption of container orchestration has positioned Kubernetes as a high-value target for adversaries seeking to compromise enterprise-scale environments. Our telemetry reveals that Kubernetes-related threat actor operations, including stealing Kubernetes tokens, increased 282% over the last year. The IT sector was the most heavily targeted, representing over 78% of observed activity. We look beyond traditional container escape scenarios, and demonstrate how high-profile threat actors abuse Kubernetes identities and exposed attack surfaces to escalate privileges, pivoting from initial access to sensitive backend cloud infrastructure."
https://unit42.paloaltonetworks.com/modern-kubernetes-threats/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบประกาศช่องโหว่ความปลอดภัยในกลุ่มผลิตภัณฑ์ Foxit มีรายละเอียดดังนี้

ช่องโหว่และผลิตภัณฑ์ที่ได้รับผลกระทบ
1.1 รหัส CVE-2026-3775 (CVSS v3.1 Score 7.8) เป็นช่องโหว่ประเภท DLL Hijacking (CWE-427) [1] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Editor (เวอร์ชัน 2025.3 และเก่ากว่า)
1.2 รหัส CVE-2026-3779 (CVSS v3.1 Score 7.8) ซึ่งเป็นช่องโหว่ประเภท Use After Free (CWE-416) [2] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Editor (เวอร์ชัน 2025.3, 14.0.2, 13.2.2 และเก่ากว่า)
1.3 รหัส CVE-2026-3780 (CVSS v3.1 Score 7.3) ซึ่งเป็นช่องโหว่ประเภท Untrusted Search Path (CWE-426) [3] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Reader (เวอร์ชัน 2025.3 และเก่ากว่า)
1.4 รหัส CVE-2026-4947 (CVSS v3.1 Score 7.1) ซึ่งเป็นช่องโหว่ประเภท Improper Access Control (CWE-284) [4] ผลิตภัณฑ์ที่ได้รับผลกระทบ ระบบบริการคลาวด์ Foxit eSign
รูปแบบพฤติกรรมการโจมตี
สรุปรูปแบบพฤติกรรมการโจมตีของแต่ละช่องโหว่ มีรายละเอียดดังนี้
2.1 รหัส CVE-2026-3775 ผู้โจมตีนำไฟล์ DLL อันตรายไปวางดักไว้ในเครื่องเป้าหมาย เมื่อ "บริการอัปเดต" ของ Foxit ทำงานอัตโนมัติ โค้ดอันตรายจะถูกรันด้วยสิทธิ์ระดับสูงสุด (SYSTEM) ทันที
2.2 รหัส CVE-2026-3779 ผู้โจมตีส่งไฟล์ PDF ที่สร้างขึ้นพิเศษ เพื่อหลอกให้เหยื่อเปิด เมื่อเหยื่อเปิดไฟล์ โค้ดที่แฝงอยู่จะโจมตีข้อผิดพลาดในการจัดการหน่วยความจำของโปรแกรม ทำให้ผู้โจมตีสามารถรันคำสั่งอันตรายเพื่อควบคุมเครื่องได้
2.3 รหัส CVE-2026-3780 หากผู้โจมตีนำไฟล์อันตรายไปวางซ่อนไว้ในเครื่องล่วงหน้า เมื่อเหยื่อหรือผู้ดูแลระบบทำการ "รันตัวติดตั้งโปรแกรม (Installer)" ของ Foxit ตัวติดตั้งจะถูกหลอกให้เรียกใช้งานไฟล์อันตรายนั้น ทำให้ผู้โจมตีถูกยกระดับเป็นสิทธิ์ผู้ดูแลระบบทันที
2.4 รหัส CVE-2026-4947 ผู้โจมตีสามารถใช้เครื่องมือสกัดกั้นข้อมูลเว็บเพื่อ "ดัดแปลงหมายเลข ID เอกสาร" ผ่านระบบบริการคลาวด์ Foxit eSign ทำให้สามารถข้ามการตรวจสอบสิทธิ์ เข้าถึงเอกสารที่เป็นความลับของผู้อื่น และปลอมแปลงลายเซ็นได้โดยตรงผ่านอินเทอร์เน็ต
การแก้ไขช่องโหว่ / รายละเอียดการอัปเดต
ผู้ให้บริการ Foxit ได้ออกอัปเดตเพื่อแก้ไขปัญหาช่องโหว่ด้านความปลอดภัยทั้ง 4 รายการ [5] ดังนี้
3.1 สำหรับผลิตภัณฑ์ซอฟต์แวร์ Foxit PDF Editor และ Foxit PDF Reader
ผู้ที่ใช้งานเวอร์ชันที่ได้รับผลกระทบควรเร่งดำเนินการอัปเดตโปรแกรมให้เป็นเวอร์ชันแพตช์ล่าสุดทันที เพื่ออุดช่องโหว่ ป้องกันการถูกยกระดับสิทธิ์ และการถูกรันโค้ดอันตราย
3.2 สำหรับแพลตฟอร์มคลาวด์ Foxit eSign
เนื่องจากเป็นบริการรูปแบบคลาวด์ ผู้ให้บริการได้ดำเนินการแพตช์แก้ไขช่องโหว่บนระบบเซิร์ฟเวอร์แล้ว ผู้ใช้งานจึงไม่จำเป็นต้องติดตั้งแพตช์ใด ๆ อย่างไรก็ตาม ผู้ใช้ควรตรวจสอบบันทึกการเข้าถึง (Access Logs) เพื่อค้นหาความผิดปกติในการเข้าถึงเอกสารในช่วงเวลาที่ผ่านมา

#CyberSecurity #ITAdmin #VulnerabilityAlert #DLLHijacking #FoxitPDFEditor #Foxit

แหล่งอ้างอิง
[1] https://dg.th/pocvt2b6jw
[2] https://dg.th/n14u6h3psl
[3] https://dg.th/1bf23p4cd9
[4] https://dg.th/e9nhdtjg3y
[5] https://dg.th/elw143tjnf

NCSA_THAICERT

@NCSA_THAICERT

Latest posts made by NCSA_THAICERT