ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนหน่วยงานและผู้ดูแลระบบเกี่ยวกับการนำบริการ Microsoft Azure Monitor เพื่อส่งอีเมลฟิชชิงแบบ Callback Phishing โดยอีเมลดังกล่าวปลอมเป็นการแจ้งเตือนจากทีมความปลอดภัยหรือฝ่ายเรียกเก็บเงินของ Microsoft เนื้อหาอีเมลอ้างพบบิลหรือรายการเรียกเก็บเงินผิดปกติในบัญชี และเร่งให้ผู้รับติดต่อไปยังหมายเลขโทรศัพท์ที่แนบมา ขอให้ผู้ใช้งานเพิ่มความระมัดระวัง ไม่ติดต่อกลับตามหมายเลขในอีเมล ตรวจสอบข้อเท็จจริงผ่านช่องทางที่เชื่อถือได้ และหลีกเลี่ยงการเปิดเผยข้อมูลสำคัญโดยเด็ดขาด

1. รายละเอียดเหตุการณ์ [1]
   การโจมตีดังกล่าวเป็นการโจมตีแบบ Callback Phishing โดยผู้โจมตีอาศัยฟังก์ชันการสร้าง Alert ใน Azure Monitor เพื่อกำหนดข้อความหลอกลวงลงในฟิลด์คำอธิบาย (description) ของการแจ้งเตือน จากนั้นตั้งค่าให้ระบบส่งอีเมลแจ้งเตือนไปยังเป้าหมายที่ต้องการ เนื้อหาอีเมลอ้างว่าพบธุรกรรมต้องสงสัย ใบแจ้งหนี้ หรือการเรียกเก็บเงินที่ไม่ได้รับอนุญาต และกดดันให้ผู้ใช้ติดต่อไปยังหมายเลขโทรศัพท์ที่ระบุในข้อความ
   ตัวอย่างข้อความที่พบในการหลอกลวงระบุลักษณะคล้าย “billing and account security notice” พร้อมแจ้งว่าพบการเรียกเก็บเงินผิดปกติ เช่น ค่าใช้จ่ายของ “Windows Defender” มูลค่า 389.90 ดอลลาร์สหรัฐ และอ้างว่าหากไม่รีบดำเนินการอาจถูกระงับบัญชีหรือมีค่าธรรมเนียมเพิ่มเติม เป้าหมายคือหลอกให้ผู้เสียหายติดต่อไปยังหมายเลขโทรศัพท์ของมิจฉาชีพเพื่อเข้าสู่ขั้นตอนหลอกลวงถัดไป

2. ลักษณะการโจมตีและผลกระทบ
   อีเมลเหล่านี้ไม่ได้ปลอมแปลงโดเมนผู้ส่งแบบทั่วไป แต่ถูกส่งออกจากแพลตฟอร์ม Microsoft Azure Monitor จริง จึงทำให้ส่วนหัวอีเมลและการยืนยันตัวตนดูถูกต้อง นอกจากนี้ผู้โจมตียังใช้ชื่อกฎแจ้งเตือนที่ทำให้ดูคล้ายการแจ้งเตือนอัตโนมัติด้านการชำระเงิน ใบแจ้งหนี้ หรือกิจกรรมในระบบ เพื่อเพิ่มความน่าเชื่อถือและลดความสงสัยของผู้รับ
   แม้รายงานดังกล่าวไม่ได้ยืนยันผลลัพธ์ของการติดต่อในเคสนี้โดยตรง แต่แคมเปญ Callback Phishing ในลักษณะเดียวกันที่ผ่านมาเคยนำไปสู่การขโมยข้อมูลรับรอง การหลอกให้ชำระเงิน หรือการติดตั้งซอฟต์แวร์ควบคุมบนเครื่องของเหยื่อได้ อีกทั้งด้วยธีมอีเมลที่เป็นทางการและเกี่ยวข้องกับองค์กร จึงมีความเป็นไปได้ว่าผู้โจมตีต้องการเข้าถึงเบื้องต้นในเครือข่ายองค์กรเพื่อใช้โจมตีต่อเนื่องในลำดับถัดไป

3. ผลิตภัณฑ์/บริการที่เกี่ยวข้อง
   กรณีนี้เกี่ยวข้องกับบริการ Microsoft Azure Monitor และ Action Groups/Email Notifications ของระบบแจ้งเตือน ซึ่ง Microsoft ระบุว่าอีเมลแจ้งเตือนจากระบบสามารถถูกส่งจากที่อยู่อีเมล [email protected] ได้ จึงอาจทำให้ผู้ใช้งานเข้าใจผิดว่าเป็นการแจ้งเตือนความปลอดภัยหรือการเงินที่ถูกต้องตามปกติ [2]

4. แนวทางการป้องกันและลดความเสี่ยง
   4.1 ผู้ใช้งานและเจ้าหน้าที่ Helpdesk ตรวจสอบอีเมลที่อ้างว่าเป็นการแจ้งเตือนจาก Microsoft หรือ Azure โดยเฉพาะกรณีที่แนบหมายเลขโทรศัพท์และเร่งให้ติดต่อเพื่อยืนยันบิล ยกเลิกรายการ หรือแก้ปัญหาบัญชีอย่างเร่งด่วน
   4.2 กำหนดนโยบายภายในองค์กร ไม่ควรติดต่อตามหมายเลขโทรศัพท์ที่ระบุในอีเมลแจ้งเตือน แต่ให้ตรวจสอบผ่านพอร์ทัล Microsoft อย่างเป็นทางการ หรือใช้ช่องทางติดต่อที่องค์กรยืนยันแล้วเท่านั้น
   4.3 ผู้ดูแลระบบอีเมลและ SOC ควรเพิ่มการเฝ้าระวังอีเมลจากผู้ส่งที่เป็นโดเมน Microsoft จริง แต่มีเนื้อหาเรียกเก็บเงินผิดปกติ การขอให้ติดต่อกลับ หรือการใช้ถ้อยคำเร่งด่วนผิดธรรมชาติ
   4.4 หากองค์กรใช้งาน Azure Monitor ควรตรวจสอบการสร้าง Alert Rules และ Action Groups ที่ผิดปกติ รวมถึงรายการอีเมลปลายทางที่ใช้รับการแจ้งเตือน เพื่อค้นหาการใช้งานในทางที่ผิดหรือการตั้งค่าที่ไม่สอดคล้องกับวัตถุประสงค์ของระบบ
   4.5 แจ้งเตือนผู้ใช้งาน “อีเมลจาก Microsoft จริง” ไม่ได้หมายความว่า “เนื้อหาภายในอีเมลนั้นปลอดภัยหรือเป็นของแท้ทั้งหมด” เพราะกรณีนี้อาศัยแพลตฟอร์มที่ถูกต้องในการส่งอีเมล

5. หากสงสัยว่าได้รับอีเมลลักษณะดังกล่าว
   5.1 ห้ามติดต่อตามหมายเลขโทรศัพท์ในอีเมล ห้ามกดลิงก์ หรือให้ข้อมูลส่วนบุคคล ข้อมูลบัตร หรือข้อมูลบัญชีผู้ใช้
   5.2 ตรวจสอบการเรียกเก็บเงินหรือสถานะบัญชีผ่าน Microsoft/Azure โดยตรง
   5.3 กรณีที่ผู้ใช้งานติดต่อกลับหรือให้ข้อมูลไปแล้ว ควรเปลี่ยนรหัสผ่าน ตรวจสอบบัญชีที่เกี่ยวข้อง และเฝ้าระวังการเข้าถึงหรือติดตั้งโปรแกรมที่ไม่ได้รับอนุญาต
   5.4 ส่งอีเมลที่ต้องสงสัยให้ทีมความมั่นคงปลอดภัยสารสนเทศขององค์กรเพื่อตรวจสอบ

อ้างอิง
[1] https://dg.th/e4xncphqrd
[2] https://dg.th/5uroh2sw7b

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยที่อาจส่งผลกระทบต่อระบบของหน่วยงาน โดยพบช่องโหว่ร้ายแรงในผลิตภัณฑ์ในกลุ่ม Oracle Fusion Middleware โดยเฉพาะระบบจัดการอัตลักษณ์และตัวจัดการเว็บเซอร์วิส ซึ่งสามารถถูกโจมตีผ่านเครือข่ายและนำไปสู่การยึดครองหรือควบคุมระบบได้ จึงขอแนะนำให้ผู้ดูแลระบบเร่งดำเนินการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่โดยทันที

1. รายละเอียดช่องโหว่
   Oracle ได้เผยแพร่ประกาศด้านความปลอดภัย [1] เกี่ยวกับช่องโหว่ CVE-2026-21992 (คะแนน CVSSv3.1: 9.8) [2] ซึ่งส่งผลกระทบต่อ Oracle Identity Manager ของ Oracle Fusion Middleware (ส่วนประกอบ REST WebServices) และ Oracle Web Services Manager ของ Oracle Fusion Middleware (ส่วนประกอบ Web Services Security) โดยช่องโหว่นี้สามารถถูกใช้เพื่อเข้าควบคุมระบบที่ได้รับผลกระทบได้ผ่านโปรโตคอล HTTP โดยไม่ต้องยืนยันตัวตน (Unauthenticated Remote Exploit) และอาจนำไปสู่การรันโค้ดจากระยะไกล (Remote Code Execution - RCE) ส่งผลให้ผู้โจมตีสามารถยึดครองระบบ Oracle Identity Manager และ Oracle Web Services Manager ได้อย่างสมบูรณ์

2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
   2.1 Oracle Identity Manager เวอร์ชัน 12.2.1.4.0 และเวอร์ชัน 14.1.2.1.0
   2.2 Oracle Web Services Manager เวอร์ชัน 12.2.1.4.0 และเวอร์ชัน 14.1.2.1.0

3. แนวทางการแก้ไข
   แนะนำให้ดำเนินการอัปเดตแพตช์จาก Oracle โดยทันที ผ่านชุดอัปเดตของ Fusion Middleware [3] และควรตรวจสอบว่าใช้งานเวอร์ชันที่ยังอยู่ในช่วงการสนับสนุน (Premier / Extended Support) หากไม่สามารถอัปเดตได้ทันที ให้พิจารณามาตรการชั่วคราว (Workaround) ดังนี้

• จำกัดการเข้าถึงระบบผ่าน HTTP/HTTPS จากภายนอก (เช่น allowlist เฉพาะ IP ที่จำเป็น)
• ปิดหรือจำกัดการเข้าถึง service ที่ไม่จำเป็น
• ใช้ Web Application Firewall (WAF) เพื่อช่วยกรองคำขอที่ผิดปกติ
• แยกระบบ (segmentation) เพื่อลดผลกระทบหากถูกโจมตี

4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
   4.1 ตรวจสอบ Log การใช้งานย้อนหลัง เพื่อค้นหาพฤติกรรมผิดปกติหรือความพยายามโจมตี
   4.2 เฝ้าระวังการเข้าถึงระบบจากแหล่งที่ไม่น่าเชื่อถือ
   4.3 อัปเดตแพตช์ด้านความปลอดภัยของระบบและซอฟต์แวร์อย่างสม่ำเสมอ
   4.4 จัดทำและทบทวนนโยบายควบคุมการเข้าถึง (Access Control) ให้เหมาะสม
   4.5 จัดทำระบบสำรองข้อมูล (Backup) และทดสอบการกู้คืนอย่างสม่ำเสมอ

5. แหล่งอ้างอิง
   [1] https://dg.th/gtrvcxjald
   [2] https://dg.th/8uhowa7tmf
   [3] https://dg.th/7dqh5rjcyf

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Vulnerabilities

• Oracle Pushes Emergency Fix For Critical Identity Manager RCE Flaw
  "Oracle has released an out-of-band security update to fix a critical unauthenticated remote code execution vulnerability in Identity Manager and Web Services Manager tracked as CVE-2026-21992. Oracle Identity Manager is used for managing identities and access across an enterprise, while Oracle Web Services Manager provides security and management controls for web services. In an advisory released yesterday, Oracle is "strongly" recommending that customers apply the patches as soon as possible."
  https://www.bleepingcomputer.com/news/security/oracle-pushes-emergency-fix-for-critical-identity-manager-rce-flaw/
  https://www.oracle.com/security-alerts/alert-cve-2026-21992.html
  https://www.darkreading.com/vulnerabilities-threats/patch-oracle-fusion-middleware-rce-flaw
  https://thehackernews.com/2026/03/oracle-patches-critical-cve-2026-21992.html
  https://securityaffairs.com/189796/security/oracle-fixes-critical-rce-flaw-cve-2026-21992-in-identity-manager.html
• CISA Adds Five Known Exploited Vulnerabilities To Catalog
  "CISA has added five new vulnerabilities to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
  CVE-2025-31277 Apple Multiple Products Buffer Overflow Vulnerability
  CVE-2025-32432 Craft CMS Code Injection Vulnerability
  CVE-2025-43510 Apple Multiple Products Improper Locking Vulnerability
  CVE-2025-43520 Apple Multiple Products Classic Buffer Overflow Vulnerability
  CVE-2025-54068 Laravel Livewire Code Injection Vulnerability"
  https://www.cisa.gov/news-events/alerts/2026/03/20/cisa-adds-five-known-exploited-vulnerabilities-catalog
  https://thehackernews.com/2026/03/cisa-flags-apple-craft-cms-laravel-bugs.html
  https://securityaffairs.com/189776/security/u-s-cisa-adds-apple-laravel-livewire-and-craft-cms-flaws-to-its-known-exploited-vulnerabilities-catalog.html

Malware

• Trivy Under Attack Again: Widespread GitHub Actions Tag Compromise Exposes CI/CD Secrets
  "A new supply chain attack targeting Trivy has been disclosed today by Paul McCarty, marking the second distinct compromise affecting the Trivy ecosystem in March. This latest incident impacts GitHub Actions, and is separate from the earlier OpenVSX compromise involving the VS Code extension. Initial reports have focused on the compromise of Trivy v0.69.4, with downstream ecosystems such as Homebrew already rolling back affected versions. The first known detection of suspicious activity traces back to approximately 19:15 UTC."
  https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise
  https://github.com/aquasecurity/trivy/discussions/10425
  https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack
  https://www.aikido.dev/blog/teampcp-deploys-worm-npm-trivy-compromise
  https://thehackernews.com/2026/03/trivy-security-scanner-github-actions.html
  https://thehackernews.com/2026/03/trivy-supply-chain-attack-triggers-self.html
  https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/
• Attack Case Against MS-SQL Server Installing ICE Cloud Scanner (Larva-26002)
  "AhnLab SEcurity intelligence Center (ASEC) has confirmed that the Larva-26002 threat actor continues to target improperly managed MS-SQL servers in 2026. The Larva-26002 threat actor has distributed Trigona and Mimic ransomware in the past, and has since seized control of infected systems and installed scanners. the latest confirmed attack utilizes the ICE Cloud Client, a scanner malware written in Go language. In January 2024, the Larva-26002 threat actor attacked MS-SQL servers to install the Trigona and Mimic ransomware [1]. The email address used in the Mimic ransomware is not known from other attack cases, but the email address used in the Trigona ransomware is the same as the email address used by Palo Alto [2] and Zscaler [3]."
  https://asec.ahnlab.com/en/92988/
• Russian Intelligence Services Target Commercial Messaging Application Accounts
  "CISA and the Federal Bureau of Investigation released a Public Service Announcement (PSA) warning about ongoing phishing campaigns by cyber actors associated with the Russian Intelligence Services targeting commercial messaging applications (CMAs). These campaigns aim to bypass encryption to compromise to individual user accounts with targets including current and former U.S. government officials, military personnel, political figures, and journalists. Evidence shows that cyber actors have been able to compromise individual CMA accounts, but not encryption of the applications themselves. The actors’ global campaigns have resulted in unauthorized access to thousands of individual CMA accounts to view the victims’ messages and contact lists, send messages, and conduct additional phishing against other CMA accounts."
  https://www.cisa.gov/resources-tools/resources/russian-intelligence-services-target-commercial-messaging-application-accounts
  https://www.ic3.gov/PSA/2026/PSA260320
  https://www.bleepingcomputer.com/news/security/fbi-links-signal-phishing-attacks-to-russian-intelligence-services/
  https://thehackernews.com/2026/03/fbi-warns-russian-hackers-target-signal.html
  https://cyberscoop.com/fbi-cisa-issue-psa-on-russian-intelligence-campaign-to-target-messaging-apps/
  https://securityaffairs.com/189808/intelligence/russia-linked-actors-target-whatsapp-and-signal-in-phishing-campaign.html
• Libyan Oil Refinery Among Targets In Long-Running Likely Espionage Campaign
  "A series of attacks on Libyan organizations hit an oil refinery, a telecoms organization and a state institution between November 2025 and February 2026. These attacks delivered the AsyncRAT backdoor, which is a publicly available backdoor that has previously been used by state-sponsored groups. This, and the organizations targeted, point to the possibility that this activity could be state sponsored. While this activity dates from before U.S. and Israeli strikes on Iran led to conflict in the Gulf region and turmoil on the world’s oil markets, the targeting of an oil refinery is notable. Libyan oil production hit 1.37 million barrels a day last year, the highest in about 12 years. With so much disruption in the Middle East, it's possible that attacks against oil producers in other countries could ramp up as fears grow about global energy supplies."
  https://www.security.com/threat-intelligence/asyncrat-libya-oil-cyberattack
  https://www.bankinfosecurity.com/multi-month-cyberespionage-campaign-hits-libyan-oil-refinery-a-31091
• Advanced Fake Zoom Installer Used For Delivering Malware
  "Zoom abuse and impersonation have become popular lure tactics for attackers. Over the past year, we’ve posted blogs about Zoom impersonation for delivering malware, Zoom impersonation to deliver phishing payloads, Zoom Docs abuse, and more. But recently, we observed an impersonation-based attack that stood out for the length it went to fool the target."
  https://sublime.security/blog/advanced-fake-zoom-installer-used-for-delivering-malware/
  https://hackread.com/fake-zoom-meeting-invite-scam-windows-pc-malware/
• CVE-2026-33017: How Attackers Compromised Langflow AI Pipelines In 20 Hours
  "On March 17, 2026, a critical vulnerability was disclosed in Langflow, the open-source visual framework for building AI agents and Retrieval-Augmented Generation (RAG) pipelines. The vulnerability, CVE-2026-33017, is an unauthenticated remote code execution (RCE) in the public flow build endpoint that allows attackers to execute arbitrary Python code on any exposed Langflow instance, with no credentials required and only a single HTTP request to get moving. Within 20 hours of the advisory’s publication, the Sysdig Threat Research Team (TRT) observed the first exploitation attempts in the wild. No public proof-of-concept (PoC) code existed at the time. Attackers built working exploits directly from the advisory description and began scanning the internet for vulnerable instances. Exfiltrated information included keys and credentials, which provided access to connected databases and potential software supply chain compromise."
  https://www.sysdig.com/blog/cve-2026-33017-how-attackers-compromised-langflow-ai-pipelines-in-20-hours
  https://thehackernews.com/2026/03/critical-langflow-flaw-cve-2026-33017.html
  https://www.securityweek.com/critical-langflow-vulnerability-exploited-hours-after-public-disclosure/
  https://www.infosecurity-magazine.com/news/hackers-exploit-critical-langflow/
• That “job Brief” On Google Forms Could Infect Your Device
  "We’ve identified a campaign using business-related lures, such as job interviews, project briefs, and financial document, to distribute malware, including the PureHVNC Remote Access Trojan (RAT). It’s not the malware that’s new, but how the attack starts. Instead of the usual phishing email or fake download page, attackers are using Google Forms to kick off the infection chain. The attack typically begins when a victim downloads a business-themed ZIP file linked from a Google Form. Inside is a malicious file that sets off a multi-stage infection process, eventually installing malware on the system."
  https://www.malwarebytes.com/blog/threat-intel/2026/03/that-job-brief-on-google-forms-could-infect-your-device
• Large-Scale Magento Defacement Campaign Impacts Global Brands And Government Domains
  "Netcraft researchers have identified an ongoing campaign involving the compromise and defacement of thousands of Magento ecommerce sites across multiple sectors and geographies. Beginning 27 February 2026, attackers have deployed defacement txt files across approximately 15,000 hostnames spanning 7,500 domains, including infrastructure associated with prominent global brands, e-commerce platforms, and government services. While a small number of defacements included geopolitical messaging, the majority appear to be opportunistic compromises carried out for attribution and reputation within the defacement ecosystem, rather than targeted hacktivism."
  https://www.netcraft.com/blog/large-scale-magento-defacement-campaign
  https://www.securityweek.com/thousands-of-magento-sites-hit-in-ongoing-defacement-campaign/
  https://securityaffairs.com/189734/hacking/7500-magento-sites-defaced-in-global-hacking-campaign.html
• Copyright Lures Mask a Multi‑Stage PureLog Stealer Attack On Key Industries
  "We identified a targeted malware campaign delivering PureLog Stealer, an information‑stealing malware that uses multi‑stage packed assemblies to harvest sensitive data, including Chrome browser credentials, extensions, cryptocurrency wallets, and system information, through a file disguised as a legal copyright violation notice. It’s considered a low‑cost, easy‑to‑use infostealer, making it accessible even to less‑skilled threat actors. The attack likely relies on phishing emails that lure victims into downloading a malicious executable tailored to the victim’s local language."
  https://www.trendmicro.com/en_us/research/26/c/copyright-lures-mask-a-multistage-purelog-stealer-attack.html
• The Beast Returns: Analysis Of a Beast Ransomware Server
  "Team Cymru analyzes and collects a wide variety of internet telemetry. This includes global NetFlow communications and open ports data, among other types of data such as X509 certificates, passive DNS, and WHOIS records. While other organisations attempt to scan the entire Internet or guess which ports are statistically likely to be listening, our Open Ports data collection leverages Team Cymru’s unique NetFlow visibility to prioritize and perform targeted scans of hosts that are actively communicating. By filling in the known gaps, Team Cymru's informed scanning enables faster discovery of live assets and operational infrastructure."
  https://www.team-cymru.com/post/beast-ransomware-server-toolkit-analysis
  https://www.darkreading.com/threat-intelligence/opsec-beast-gang-exposes-ransomware-server
• Microsoft Azure Monitor Alerts Abused For Callback Phishing Attacks
  "Microsoft Azure Monitor alerts are being abused to send callback phishing emails that impersonate warnings from the Microsoft Security Team about unauthorized charges on your account. Azure Monitor is Microsoft's cloud-based monitoring service that collects and analyzes data from Azure resources, applications, and infrastructure. It enables users to track performance, notify about billing changes, detect issues, and trigger alerts based on various conditions. Over the past month, numerous people have reported receiving Azure Monitor alerts warning of suspicious charges or invoice activity on their accounts, urging them to call an enclosed phone number."
  https://www.bleepingcomputer.com/news/security/microsoft-azure-monitor-alerts-abused-in-callback-phishing-campaigns/
• CVE-2025-32975: Arctic Wolf Observes Exploitation Of Quest KACE Systems Management Appliance
  "Starting the week of March 9, 2026, Arctic Wolf observed malicious activity in customer environments potentially linked to the exploitation of CVE-2025-32975 on unpatched Quest KACE Systems Management Appliance (SMA) instances that were publicly exposed to the internet. This vulnerability was patched in May 2025. Quest KACE SMA is an on-premises appliance for centralized endpoint management, providing inventory, software deployment, patching, and endpoint monitoring capabilities. CVE-2025-32975 is a critical authentication bypass vulnerability that allows threat actors to impersonate legitimate users without valid credentials. The flaw exists in the SSO authentication handling mechanism and can result in complete administrative takeover."
  https://arcticwolf.com/resources/blog/cve-2025-32975/
  https://www.securityweek.com/critical-quest-kace-vulnerability-potentially-exploited-in-attacks/
• VoidStealer: Debugging Chrome To Steal Its Secrets
  "When Google introduced Application-Bound Encryption (ABE) in July 2024 with Chrome 127, it didn't mark the end of infostealers –⁠⁠⁠⁠⁠⁠ as expected, infostealers adopted quickly and came up with various methods to bypass it. Still, it undoubtedly raised the bar for accessing sensitive browser data, and, more importantly, significantly increased the visibility of such data theft attempts, as bypassing ABE now requires attackers to perform additional steps that are inherently more suspicious. Various bypass techniques have emerged since then, and since each comes with its own trade-offs, new approaches continue to appear as threat actors seek to minimize the footprint and evade detection."
  https://www.gendigital.com/blog/insights/research/voidstealer-abe-bypass
  https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/

Breaches/Hacks/Leaks

• Hacker Group LAPSUS$ Claims Alleged AstraZeneca Data Breach
  "A threat actor group identifying itself as “LAPSUS$” is claiming responsibility for an alleged data breach involving AstraZeneca, one of the world’s largest multinational pharmaceutical and biotechnology company. The group claims to have obtained approximately 3GB of internal data, including source code, cloud infrastructure configurations, and employee-related information."
  https://hackread.com/hacker-group-lapsus-astrazeneca-data-breach/
• WorldLeaks Ransomware Group Breached The City Of Los Angels
  "WorldLeaks group hit Los Angeles and its Metro, forcing a shutdown, while two Bay Area cities declared emergencies after ransomware attacks. This week, local media reported that an unauthorized activity hit Metro’s internal systems, forcing the agency to limit access and disrupting station arrival displays. “Unauthorized activity on internal administrative computer systems prompted Metro to limit access to those systems, resulting in station monitors not displaying arrival times, the transit agency announced Thursday.” reported NBC Los Angeles."
  https://securityaffairs.com/189753/data-breach/worldleaks-group-breached-the-city-of-los-angels.html

General News

• Global Cybercrime Crackdown: Over 373 000 Dark Web Sites Shut Down
  "On 9 March 2026, a global operation led by German authorities and supported by Europol was launched against one of the largest networks of fraudulent platforms in the dark web. The investigation began in mid-2021 against the dark web platform “Alice with Violence CP”. During the investigation, authorities discovered that the platform’s operator was running more than 373 000 fraudulent websites advertising child sexual abuse material (CSAM) and cybercrime-as-a-service (CaaS) offerings."
  https://www.europol.europa.eu/media-press/newsroom/news/global-cybercrime-crackdown-over-373-000-dark-web-sites-shut-down
  https://www.bleepingcomputer.com/news/security/police-take-down-373-000-fake-csam-sites-in-operation-alice/
  https://therecord.media/police-dismantle-dark-web-network-exploiting-child-abuse-images
• Authorities Disrupt World’s Largest IoT DDoS Botnets Responsible For Record Breaking Attacks Targeting Victims Worldwide
  "The U.S. Justice Department participated in a court-authorized law enforcement operation today to disrupt Command and Control (C2) infrastructure used by the Aisuru, KimWolf, JackSkid and Mossad Internet of Things (IoT) botnets. The operation was conducted simultaneously to law enforcement actions conducted in Canada and Germany, which targeted individuals who operated these botnets. The four botnets launched Distributed Denial of Service (DDoS) attacks targeting victims around the world. Some of these attacks measured approximately 30 Terabits per second, which were record-breaking attacks."
  https://www.justice.gov/usao-ak/pr/authorities-disrupt-worlds-largest-iot-ddos-botnets-responsible-record-breaking-attacks
  https://www.bleepingcomputer.com/news/security/aisuru-kimwolf-jackskid-and-mossad-botnets-disrupted-in-joint-action/
  https://thehackernews.com/2026/03/doj-disrupts-3-million-device-iot.html
  https://therecord.media/us-seizes-botnet-infrastructure-four-large-networks
  https://www.bankinfosecurity.com/aisuru-kimwolf-botnets-disrupted-in-international-operation-a-31105
  https://cyberscoop.com/botnet-disruption-aisuru-kimwolf-jackskid-mossad/
  https://www.securityweek.com/aisuru-and-kimwolf-ddos-botnets-disrupted-in-international-operation/
  https://securityaffairs.com/189710/cyber-crime/global-law-enforcement-operation-targets-aisuru-kimwolf-jackskid-botnet-operators.html
  https://www.theregister.com/2026/03/20/botnet_disruption/
  https://www.helpnetsecurity.com/2026/03/20/us-disrupts-iot-botnets-ddos-attacks-aisuru-kimwolf/
• Three Men Sentenced For Facilitating Employment Of Foreign Workers In North Korean Sanctions Evasion Scheme
  "Three men have been sentenced in federal court after pleading guilty to their roles in a nationwide scheme that enabled North Korean workers to access U.S.-based computer networks. Each defendant pleaded guilty to a criminal Information charging them with one count of Wire Fraud Conspiracy, said Margaret E. “Meg” Heap, U.S. Attorney for the Southern District of Georgia. The defendants were sentenced by U.S. District Court Judge J. Randal Hall."
  https://www.justice.gov/usao-sdga/pr/three-men-sentenced-providing-computer-access-foreign-workers-potential-espionage-plot
  https://cyberscoop.com/north-korea-it-worker-scheme-three-sentenced/
• Post-Quantum Web Could Be Safer, Faster
  "With practical quantum computers predicted to arrive in the next decade or so, technologists worry about the risks to encrypted data traveling over current Web protocols, but a new infrastructure proposed by an Internet standards group could future-proof against quantum attacks. Cryptographically relevant quantum computers (CRQCs) could allow the decryption of secure traffic using HTTPS and the spoofing of secure servers. Shoring up the security of the Internet with the structures used today requires adopting post-quantum algorithms that come with significant trade-offs."
  https://www.darkreading.com/cloud-security/post-quantum-web-could-be-safer-faster
• Field Workers Don’t Need More Access, They Need Better Security
  "In this Help Net Security interview, Chris Thompson, CISO at West Shore Home, discusses least privilege and credential hygiene for a field-based workforce. He covers access management, authentication practices, and data risk processes that support employees in the field. Thompson also outlines security awareness efforts and how field teams are integrated into an organization’s security posture."
  https://www.helpnetsecurity.com/2026/03/20/chris-thompson-west-shore-home-field-worker-cybersecurity/
• NCA Boss Warns That Teens Are Being “Radicalized” Into Cybercrime Online
  "The head of the UK’s National Crime Agency (NCA) has warned that the country’s teens are being “radicalized” into becoming cybercriminals by online platforms. The NCA was set up over a decade ago to tackle serious and organized crime. In a speech to launch the NCA's National Strategic Assessment this week, Graeme Biggar, NCA director general, argued that “the same toxic online spaces” and algorithms are turning teens into cybercriminals, sex offenders and terrorists."
  https://www.infosecurity-magazine.com/news/nca-boss-warns-teens-radicalized/
• Who’s Really Shopping? Retail Fraud In The Age Of Agentic AI
  "From targeting the “digital contract” with gift card theft to potentially liquidating the cash reserve of a retailer, this blog explores the potential for AI-enabled fraud that retailers could now face. We also explain how organizations can better defend themselves and their guests from AI-enabled fraud."
  https://unit42.paloaltonetworks.com/retail-fraud-agentic-ai/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

เมื่อวันที่ 18 มีนาคม 2026 Cybersecurity and Infrastructure Security Agency (CISA) CISA เรียกร้องให้องค์กรเร่งยกระดับความมั่นคงปลอดภัยของระบบบริหารจัดการอุปกรณ์ปลายทาง หลังเกิดเหตุโจมตีทางไซเบอร์ต่อองค์กรในสหรัฐฯ

ศูนย์รักษาความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) แจ้งเตือนให้องค์กรเร่ง ยกระดับความมั่นคงปลอดภัยของระบบบริหารจัดการอุปกรณ์ปลายทาง (Endpoint Management Systems) ภายหลังรับทราบกิจกรรมไซเบอร์ประสงค์ร้ายที่มุ่งเป้าไปยังระบบดังกล่าวในองค์กรของสหรัฐฯ

CISA กล่าวถึงเหตุโจมตีทางไซเบอร์เมื่อวันที่ 11 มีนาคม 2026 ที่เกิดขึ้นกับ Stryker Corporation บริษัทเทคโนโลยีการแพทย์ของสหรัฐฯ ได้ส่งผลกระทบต่อ สภาพแวดล้อม Microsoft ของบริษัทดังกล่าว สะท้อนให้เห็นว่า ระบบบริหารจัดการอุปกรณ์ปลายทางอาจกลายเป็นเป้าหมายสำคัญของผู้ไม่หวังดี เนื่องจากเป็นระบบที่มีขีดความสามารถในการควบคุม กำหนดค่า และสั่งงานอุปกรณ์จำนวนมากภายในองค์กรได้จากศูนย์กลาง

เพื่อป้องกันกิจกรรมประสงค์ร้ายในลักษณะเดียวกัน CISA ขอให้องค์กรต่าง ๆ เร่งทบทวนและเพิ่มความแข็งแกร่งในการตั้งค่าระบบบริหารจัดการอุปกรณ์ปลายทาง โดยอาศัยคำแนะนำและทรัพยากรที่ระบุในประกาศดังกล่าว ทั้งนี้ CISA ยังได้เพิ่มความร่วมมือกับหน่วยงานรัฐบาลกลางที่เกี่ยวข้อง รวมถึง สำนักงานสืบสวนกลางสหรัฐฯ (FBI) เพื่อระบุภัยคุกคามเพิ่มเติม และกำหนดแนวทางลดความเสี่ยงจากการที่ผู้ไม่หวังดีอาจอาศัยซอฟต์แวร์บริหารจัดการอุปกรณ์ปลายทางที่ถูกต้องตามกฎหมายมาใช้ในทางที่ผิด

CISA ยังขอให้องค์กรนำ แนวปฏิบัติที่ดีที่สุดฉบับใหม่ของ Microsoft สำหรับการรักษาความปลอดภัยของ Microsoft Intune มาปรับใช้ โดยหลักการดังกล่าวสามารถประยุกต์ใช้ได้กับทั้ง Microsoft Intune และซอฟต์แวร์บริหารจัดการอุปกรณ์ปลายทางอื่น ๆ ในลักษณะเดียวกัน

คำแนะนำหลักจาก CISA และ Microsoft

1. ใช้หลักการ Least Privilege ในการออกแบบสิทธิ์ผู้ดูแลระบบ
   ให้องค์กรกำหนดสิทธิ์ของผู้ดูแลระบบตามความจำเป็นขั้นต่ำต่อการปฏิบัติงานจริง โดยใช้ความสามารถด้าน Role-Based Access Control (RBAC) ของ Microsoft Intune เพื่อจำกัดขอบเขตการดำเนินการของแต่ละบทบาท ทั้งในด้านประเภทของการกระทำที่อนุญาต และขอบเขตของผู้ใช้หรืออุปกรณ์ที่สามารถเข้าถึงได้
2. บังคับใช้ MFA แบบต้านฟิชชิง และเพิ่มการปกป้องสิทธิ์ระดับสูง
   ให้องค์กรใช้ความสามารถของ Microsoft Entra ID เช่น Conditional Access, Multi-Factor Authentication (MFA), risk signals และ privileged access controls เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต โดยเฉพาะต่อการดำเนินการที่เกี่ยวข้องกับสิทธิ์ระดับสูงใน Microsoft Intune
3. กำหนดให้การดำเนินการที่มีความอ่อนไหวต้องได้รับการอนุมัติจากผู้ดูแลมากกว่าหนึ่งราย
   ให้องค์กรตั้งค่านโยบาย Multi Admin Approval เพื่อกำหนดให้การเปลี่ยนแปลงที่มีผลกระทบสูง เช่น การลบข้อมูลอุปกรณ์ การลบแอปพลิเคชัน การเรียกใช้สคริปต์ การแก้ไข RBAC หรือการเปลี่ยนแปลงการตั้งค่าที่สำคัญ ต้องได้รับการอนุมัติจากบัญชีผู้ดูแลระบบอีกบัญชีหนึ่งก่อนดำเนินการ

นอกจากนี้ CISA ยังขอแนะนำให้องค์กรทบทวนทรัพยากรและแนวปฏิบัติที่เกี่ยวข้องเพิ่มเติม เพื่อเสริมสร้างความสามารถในการป้องกัน ตรวจจับ และลดผลกระทบจากกิจกรรมไซเบอร์ประสงค์ร้ายในลักษณะเดียวกัน

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-urges-endpoint-management-system-hardening-after-cyberattack-against-us-organization?utm_source=IranHardening202603&utm_medium=GovDelivery
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand