เมื่อวันที่ 6 เมษายน 2026 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 1 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว มีรายละเอียดดังนี้

• CVE-2026-35616 - Fortinet FortiClient EMS Improper Access Control Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Healthcare Sector

• Shadow AI In Healthcare Is Here To Stay
  "The healthcare industry must get ahead of pervasive shadow AI risks that only exacerbate recovery challenges when ransomware and other disruptive cyberattacks inevitably hit. Physicians, doctors, and clinicians use unsanctioned artificial intelligence (AI) tools and chatbots to boost efficiency in a job where shaving a second off could mean saving someone's life. But security teams can't monitor for potentially damaging threats if they don't know the tools are running in the environment; hence the term "shadow AI.""
  https://www.darkreading.com/cyber-risk/shadow-ai-in-healthcare-is-here-to-stay

Vulnerabilities

• CISA Adds One Known Exploited Vulnerability To Catalog
  "CISA has added one new vulnerability to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
  CVE-2026-35616 - Fortinet FortiClient EMS Improper Access Control Vulnerability"
  https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog
  https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-fortinet-flaw-exploited-in-attacks-by-friday/
  https://therecord.media/singapore-us-warn-of-fortinet-bug-exploited
  https://www.theregister.com/2026/04/06/forticlient_ems_bug_exploited/
• New GPUBreach Attack Enables System Takeover Via GPU Rowhammer
  "A new attack, dubbed GPUBreach, can induce Rowhammer bit-flips on GPU GDDR6 memories to escalate privileges and lead to a full system compromise. GPUBreach was developed by a team of researchers at the University of Toronto, and full details will be presented at the upcoming IEEE Symposium on Security & Privacy on April 13 in Oakland. The researchers demonstrated that Rowhammer-induced bit flips in GDDR6 can corrupt GPU page tables (PTEs) and grant arbitrary GPU memory read/write access to an unprivileged CUDA kernel."
  https://www.bleepingcomputer.com/news/security/new-gpubreach-attack-enables-system-takeover-via-gpu-rowhammer/
  https://gpubreach.ca/
• Disgruntled Researcher Leaks “BlueHammer” Windows Zero-Day Exploit
  "Exploit code has been released for an unpatched Windows privilege escalation flaw reported privately to Microsoft, allowing attackers to gain SYSTEM or elevated administrator permissions. Dubbed BlueHammer, the vulnerability was published by a security researcher discontent with how Microsoft’s Security Response Center (MSRC) handled the disclosure process. Since, the security issue has no official patch and there is no update to address it, the flaw is considered a zero-day by Microsoft's definition."
  https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/
  https://deadeclipse666.blogspot.com/2026/04/public-disclosure.html
• AI Agents Found Vulns In This Popular Linux And Unix Print Server
  "In the latest chapter on leaky CUPS, a security researcher and his band of bug-hunting agents have found two flaws that can be chained to allow an unauthenticated attacker to remotely execute code and achieve root file overwrite on the network. CUPS - or the Common Unix Printing System, as it is less commonly known - is the standard way to submit files for printing over Linux and other Unix-like systems. It's also a favorite target for security researchers because a) making printers do bad things is fun, and b) as the default printing system for Apple device operating systems and most Linux distributions, any CUPS security flaw has a wide blast radius."
  https://www.theregister.com/2026/04/06/ai_agents_cups_server_rce/
  https://heyitsas.im/posts/cups/

Malware

• Storm-1175 Focuses Gaze On Vulnerable Web-Facing Assets In High-Tempo Medusa Ransomware Operations
  "The financially motivated cybercriminal actor tracked by Microsoft Threat Intelligence as Storm-1175 operates high-velocity ransomware campaigns that weaponize N-days, targeting vulnerable, web-facing systems during the window between vulnerability disclosure and widespread patch adoption. Following successful exploitation, Storm-1175 rapidly moves from initial access to data exfiltration and deployment of Medusa ransomware, often within a few days and, in some cases, within 24 hours. The threat actor’s high operational tempo and proficiency in identifying exposed perimeter assets have proven successful, with recent intrusions heavily impacting healthcare organizations, as well as those in the education, professional services, and finance sectors in Australia, United Kingdom, and United States."
  https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/
  https://www.bleepingcomputer.com/news/security/microsoft-links-medusa-ransomware-affiliate-to-zero-day-attacks/
  https://therecord.media/medusa-ransomware-group-zero-days-microsoft
• Drift $280M Crypto Theft Linked To 6-Month In-Person Operation
  "The Drift Protocol says that the $280+ million hack it suffered last week was the result of a long-term, carefully planned operation that included building "a functioning operational presence inside the Drift ecosystem." On April 1st, the Solana-based trading platform detected unusual activity that was followed by confirmation that funds had been lost in a sophisticated attack that allowed hijacking of the Security Council administrative powers. Blockchain intelligence firms Elliptic and TRM Labs attributed the heist to North Korean hackers, who took about 12 minutes to drain user assets."
  https://www.bleepingcomputer.com/news/security/drift-280m-crypto-theft-linked-to-6-month-in-person-operation/
  https://www.elliptic.co/blog/drift-protocol-exploited-for-286-million-in-suspected-dprk-linked-attack
  https://www.trmlabs.com/resources/blog/north-korean-hackers-attack-drift-protocol-in-285-million-heist
  https://hackread.com/north-korean-hackers-trading-firm-drift-protocol/
  https://www.securityweek.com/north-korean-hackers-target-high-profile-node-js-maintainers/
• Weaponizing Fear: Iran Conflict-Themed Phishing Uses Fake Emergency Alerts
  "War in the modern era extends far beyond the physical battlefield. The ongoing conflict in the Middle East involving the United States, Israel, and Iran continues to generate widespread fear and uncertainty, particularly among civilians in affected and neighboring regions. This climate of heightened anxiety creates ideal conditions for cyber threats, as malicious actors exploit fear-driven narratives to target individuals through digital attacks such as phishing and disinformation campaigns. The Cofense Phishing Defense Center (PDC) has recently identified a phishing campaign that impersonates a government emergency alert, referencing entities such as the Ministry of Interior and Civil Defense."
  https://cofense.com/blog/weaponizing-fear-iran-conflict-themed-phishing-uses-fake-emergency-alerts
  https://hackread.com/missile-alert-phishing-iran-us-israel-microsoft-logins/
• Six Accounts, One Actor: Inside The Prt-Scan Supply Chain Campaign
  "On April 2, 2026, security researcher Charlie Eriksen publicly identified an automated campaign exploiting GitHub's pull_request_target workflow trigger. The attacker, operating under the account ezmtebo, opened over 475 malicious PRs in 26 hours targeting repositories belonging to both prominent organizations and hobbyists. This attacker is reminiscent of hackerbot-claw, the AI powered CI/CD attacker that used five different exploitation methods across seven successful high profile attacks."
  https://www.wiz.io/blog/six-accounts-one-actor-inside-the-prt-scan-supply-chain-campaign
  https://www.darkreading.com/application-security/ai-assisted-supply-chain-attack-targets-github
• How LiteLLM Turned Developer Machines Into Credential Vaults For Attackers
  "The most active piece of enterprise infrastructure in the company is the developer workstation. That laptop is where credentials are created, tested, cached, copied, and reused across services, bots, build tools, and now local AI agents. In March 2026, the TeamPCP threat actor proved just how valuable developer machines are. Their supply chain attack on LiteLLM, a popular AI development library downloaded millions of times daily, turned developer endpoints into systematic credential harvesting operations. The malware only needed access to the plaintext secrets already sitting on disk."
  https://thehackernews.com/2026/04/how-litellm-turned-developer-machines.html

General News

• German Authorities Identify REvil And GangCrab Ransomware Bosses
  "The Federal Police in Germany (BKA) has identified two Russian nationals as the leaders of GandCrab and REvil ransomware operations between 2019 and 2021. According to BKA's disclosure, 31-year-old Daniil Maksimovich Shchukin and 43-year-old Anatoly Sergeevitsch Kravchuk acted as the heads of the two ransomware groups "from at least the beginning of 2019 until at least July 2021." Shchukin hid behind the monikers UNKN/UNKNOWN for years, posting on cybercrime forums and speaking as a representative of the ransomware operation."
  https://www.bleepingcomputer.com/news/security/german-authorities-identify-revil-and-gangcrab-ransomware-bosses/
  https://thehackernews.com/2026/04/bka-identifies-revil-leaders-behind-130.html
  https://therecord.media/german-police-unmask-suspects-linked-revil-gandcrab
  https://securityaffairs.com/190401/cyber-crime/bka-unmasks-two-revil-ransomware-operators-behind-130-german-attacks.html
• UK Businesses Are Being Targeted Through Their Middle East Supply Chains — What To Do Now
  "The conversation around cyber risk in the UK has shifted. It is no longer confined to domestic networks, internal systems, or even direct attacks on British infrastructure. The weak link sits thousands of miles away, embedded within third-party vendors, logistics partners, and digital dependencies across the Middle East. This growing exposure has created a new layer of Middle East supply chain risk, one that is proving difficult to monitor and even harder to control."
  https://cyble.com/blog/middle-east-supply-chain-risk-uk-cyber-threats/
• OWASP GenAI Data Security Risks & Mitigations 2026
  "The OWASP GenAI Data Security Risks and Mitigations 2026 guide provides a critical, forward-looking analysis of the unique data security challenges posed by the rapid, widespread adoption of Generative AI (GenAI) across enterprise environments, anticipating the landscape by 2026. This comprehensive guide moves beyond traditional software security paradigms to address the novel attack surfaces that emerge when systems process and generate information at an unprecedented scale. The paper establishes a foundational, open-source framework for securing GenAI systems, focusing intensely on the data layer—from initial training and fine-tuning datasets to user prompts and final model outputs. Security professionals must proactively integrate AI-specific security testing, constant monitoring, and robust validation from the earliest stages of model development through to deployment. Adopting and adapting a comprehensive security framework will be essential for organizations to safely harness the revolutionary capabilities of GenAI while effectively managing its profound data security risks by 2026."
  https://genai.owasp.org/resource/owasp-genai-data-security-risks-mitigations-2026/
  https://genai.owasp.org/download/53429/?tmstv=1773811493
  https://www.darkreading.com/application-security/owasp-genai-security-project-update-matrix
• CISOs Grapple With AI Demands Within Flat Budgets
  "Security spending continues to edge upward across large organizations, though the changes remain gradual and tightly managed. The 2026 RH-ISAC CISO Benchmark reflects a steady environment where budgets expand in small steps, even as AI becomes a routine part of security operations. Spending levels increased during 2025 across both IT and security. Average IT spend as a share of revenue rose to 3.9% from 3.2% the year before. Security spend followed a similar path, reaching 0.75% of revenue, up from 0.57%. Security’s share of the IT budget moved slightly to 5.8%."
  https://www.helpnetsecurity.com/2026/04/06/rh-isac-enterprise-security-spending-report/
• • Google DeepMind Researchers Map Web Attacks Against AI Agents
    "Malicious web content can be used to manipulate, deceive, and exploit autonomous AI agents navigating the internet, Google DeepMind researchers show. The researchers have identified six types of attacks against AI agents that can be mounted via web content to inject malicious context and trigger unexpected behavior. Web content, they explain in a research paper, allows attackers to set up ‘AI Agent Traps’ that weaponize the agents’ capabilities against themselves, allowing attackers to promote products, exfiltrate data, or disseminate information at scale."
    https://www.securityweek.com/google-deepmind-researchers-map-web-attacks-against-ai-agents/
    https://papers.ssrn.com/sol3/papers.cfm?abstract_id=6372438
• FBI: Cyber Fraud Surges To $17.6 Billion In Losses As Scams, Crypto Theft Soar
  "Cyber-enabled fraud accounted for the overwhelming majority of all losses reported to the FBI’s Internet Crime Complaint Center (IC3) in 2025, with a staggering $17.6 billion stolen. The center’s annual report, released on Monday, offers a snapshot of the law enforcement agency’s myriad efforts to combat digital threats, especially ransomware, which increasingly harm individuals, businesses and U.S. critical infrastructure. Cyber-enabled fraud was behind 85% of all losses reported to the hub in 2025 and constituted 45% of the 1,008,597 complaints it received overall."
  https://therecord.media/cyber-fraud-surges-to-17-billion-fbi-ic3
  https://www.ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
• First Stalkerware Maker Prosecuted Since 2014 Receives No Jail Time
  "The first stalkerware manufacturer convicted in the U.S. since 2014 received no jail time at his Friday sentencing. Bryan Fleming, founder of pcTattletale, was ordered to pay a $5,000 fine by a San Diego federal judge and will spend no time in prison beyond the one day he already served. In January, he pleaded guilty to one count of manufacturing, distributing, possessing and advertising wire, oral or electronic communication intercepting devices."
  https://therecord.media/stalkerware-maker-receives-no-jail-time
  https://cyberscoop.com/pctattletale-stalkerware-maker-sentence-includes-fine-supervised-release/
• Understanding Current Threats To Kubernetes Environments
  "The rapid adoption of container orchestration has positioned Kubernetes as a high-value target for adversaries seeking to compromise enterprise-scale environments. Our telemetry reveals that Kubernetes-related threat actor operations, including stealing Kubernetes tokens, increased 282% over the last year. The IT sector was the most heavily targeted, representing over 78% of observed activity. We look beyond traditional container escape scenarios, and demonstrate how high-profile threat actors abuse Kubernetes identities and exposed attack surfaces to escalate privileges, pivoting from initial access to sensitive backend cloud infrastructure."
  https://unit42.paloaltonetworks.com/modern-kubernetes-threats/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบประกาศช่องโหว่ความปลอดภัยในกลุ่มผลิตภัณฑ์ Foxit มีรายละเอียดดังนี้

1. ช่องโหว่และผลิตภัณฑ์ที่ได้รับผลกระทบ
   1.1 รหัส CVE-2026-3775 (CVSS v3.1 Score 7.8) เป็นช่องโหว่ประเภท DLL Hijacking (CWE-427) [1] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Editor (เวอร์ชัน 2025.3 และเก่ากว่า)
   1.2 รหัส CVE-2026-3779 (CVSS v3.1 Score 7.8) ซึ่งเป็นช่องโหว่ประเภท Use After Free (CWE-416) [2] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Editor (เวอร์ชัน 2025.3, 14.0.2, 13.2.2 และเก่ากว่า)
   1.3 รหัส CVE-2026-3780 (CVSS v3.1 Score 7.3) ซึ่งเป็นช่องโหว่ประเภท Untrusted Search Path (CWE-426) [3] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Reader (เวอร์ชัน 2025.3 และเก่ากว่า)
   1.4 รหัส CVE-2026-4947 (CVSS v3.1 Score 7.1) ซึ่งเป็นช่องโหว่ประเภท Improper Access Control (CWE-284) [4] ผลิตภัณฑ์ที่ได้รับผลกระทบ ระบบบริการคลาวด์ Foxit eSign

2. รูปแบบพฤติกรรมการโจมตี
   สรุปรูปแบบพฤติกรรมการโจมตีของแต่ละช่องโหว่ มีรายละเอียดดังนี้
   2.1 รหัส CVE-2026-3775 ผู้โจมตีนำไฟล์ DLL อันตรายไปวางดักไว้ในเครื่องเป้าหมาย เมื่อ "บริการอัปเดต" ของ Foxit ทำงานอัตโนมัติ โค้ดอันตรายจะถูกรันด้วยสิทธิ์ระดับสูงสุด (SYSTEM) ทันที
   2.2 รหัส CVE-2026-3779 ผู้โจมตีส่งไฟล์ PDF ที่สร้างขึ้นพิเศษ เพื่อหลอกให้เหยื่อเปิด เมื่อเหยื่อเปิดไฟล์ โค้ดที่แฝงอยู่จะโจมตีข้อผิดพลาดในการจัดการหน่วยความจำของโปรแกรม ทำให้ผู้โจมตีสามารถรันคำสั่งอันตรายเพื่อควบคุมเครื่องได้
   2.3 รหัส CVE-2026-3780 หากผู้โจมตีนำไฟล์อันตรายไปวางซ่อนไว้ในเครื่องล่วงหน้า เมื่อเหยื่อหรือผู้ดูแลระบบทำการ "รันตัวติดตั้งโปรแกรม (Installer)" ของ Foxit ตัวติดตั้งจะถูกหลอกให้เรียกใช้งานไฟล์อันตรายนั้น ทำให้ผู้โจมตีถูกยกระดับเป็นสิทธิ์ผู้ดูแลระบบทันที
   2.4 รหัส CVE-2026-4947 ผู้โจมตีสามารถใช้เครื่องมือสกัดกั้นข้อมูลเว็บเพื่อ "ดัดแปลงหมายเลข ID เอกสาร" ผ่านระบบบริการคลาวด์ Foxit eSign ทำให้สามารถข้ามการตรวจสอบสิทธิ์ เข้าถึงเอกสารที่เป็นความลับของผู้อื่น และปลอมแปลงลายเซ็นได้โดยตรงผ่านอินเทอร์เน็ต

3. การแก้ไขช่องโหว่ / รายละเอียดการอัปเดต
   ผู้ให้บริการ Foxit ได้ออกอัปเดตเพื่อแก้ไขปัญหาช่องโหว่ด้านความปลอดภัยทั้ง 4 รายการ [5] ดังนี้
   3.1 สำหรับผลิตภัณฑ์ซอฟต์แวร์ Foxit PDF Editor และ Foxit PDF Reader
   ผู้ที่ใช้งานเวอร์ชันที่ได้รับผลกระทบควรเร่งดำเนินการอัปเดตโปรแกรมให้เป็นเวอร์ชันแพตช์ล่าสุดทันที เพื่ออุดช่องโหว่ ป้องกันการถูกยกระดับสิทธิ์ และการถูกรันโค้ดอันตราย
   3.2 สำหรับแพลตฟอร์มคลาวด์ Foxit eSign
   เนื่องจากเป็นบริการรูปแบบคลาวด์ ผู้ให้บริการได้ดำเนินการแพตช์แก้ไขช่องโหว่บนระบบเซิร์ฟเวอร์แล้ว ผู้ใช้งานจึงไม่จำเป็นต้องติดตั้งแพตช์ใด ๆ อย่างไรก็ตาม ผู้ใช้ควรตรวจสอบบันทึกการเข้าถึง (Access Logs) เพื่อค้นหาความผิดปกติในการเข้าถึงเอกสารในช่วงเวลาที่ผ่านมา

#CyberSecurity #ITAdmin #VulnerabilityAlert #DLLHijacking #FoxitPDFEditor #Foxit

แหล่งอ้างอิง
[1] https://dg.th/pocvt2b6jw
[2] https://dg.th/n14u6h3psl
[3] https://dg.th/1bf23p4cd9
[4] https://dg.th/e9nhdtjg3y
[5] https://dg.th/elw143tjnf

️ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบการประกาศอัปเดตแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ของ Cisco จึงขอให้ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าวดำเนินการตรวจสอบเวอร์ชันของระบบ และดำเนินการอัปเดตแพตช์ตามคำแนะนำของผู้พัฒนา เพื่อลดความเสี่ยงจากการถูกโจมตี [1]

1. รายละเอียดช่องโหว่
   จากการออกอัปเดตแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ของ Cisco พบช่องโหว่ที่สำคัญ ดังนี้
   1.1 CVE-2026-20160 (คะแนน CVSSv.3.1: 9.8) เป็นช่องโหว่ความปลอดภัยใน Cisco SSM On-Prem ที่เปิดโอกาสให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถรันคำสั่งบนระบบด้วยสิทธิ์ root ได้ และอาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาต (Remote Code Execution: RCE) [2]
   1.2 CVE-2026-20093 (คะแนน CVSSv3.1: 9.8) เป็นช่องโหว่ความปลอดภัยใน Cisco IMC ที่เปิดโอกาสให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถยกระดับสิทธิ์ (Privilege Escalation) หรือเข้าถึงฟังก์ชันสำคัญของระบบได้ [3]

2. ภาพรวมของช่องโหว่
   ช่องโหว่ทั้งสองรายการถูกใช้เป็นช่องทางในการโจมตีระบบโดยไม่จำเป็นต้องผ่านการยืนยันตัวตน ในบางกรณี หากถูกโจมตีสำเร็จ อาจส่งผลกระทบดังนี้
   • ผู้โจมตีสามารถเข้าควบคุมระบบหรือเซิร์ฟเวอร์ได้
   • เกิดการรั่วไหลของข้อมูลสำคัญ
   • ระบบอาจถูกใช้เป็นฐานในการโจมตีต่อไปยังระบบอื่น (Lateral Movement)

3. แนวทางการแก้ไข
   3.1 อัปเดตแพตช์ (Security Patch) หรือเฟิร์มแวร์เป็นเวอร์ชันล่าสุดจากผู้พัฒนา
   3.2 ตรวจสอบระบบที่ได้รับผลกระทบ และยืนยันว่าไม่มีการถูกบุกรุก
   3.3 ปิดหรือจำกัดการเข้าถึงบริการที่ไม่จำเป็น โดยเฉพาะการเข้าถึงจากภายนอกเครือข่าย
   3.4 ใช้ระบบป้องกัน เช่น Firewall, Intrusion Detection/Prevention System (IDS/IPS) เพื่อกรองทราฟฟิกที่ผิดปกติ
   3.5 ทบทวนการตั้งค่าด้านความปลอดภัย โดยเฉพาะการกำหนดสิทธิ์ผู้ใช้งาน

ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าว สามารถอัปเดตแพตซ์ได้ที่ https://dg.th/zx1jnp0i54

4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
   4.1 เฝ้าระวัง (Monitoring) และวิเคราะห์ Log อย่างสม่ำเสมอ เพื่อตรวจจับพฤติกรรมผิดปกติ
   4.2 ใช้หลักการ Least Privilege ในการกำหนดสิทธิ์การเข้าถึง
   4.3 ดำเนินการทดสอบช่องโหว่ (Vulnerability Assessment) และการทดสอบเจาะระบบ (Penetration Testing) เป็นระยะ

หากไม่สามารถดำเนินการอัปเดตแพตช์ได้ทันที ควรใช้มาตรการชั่วคราว เช่น การจำกัดการเข้าถึงระบบจาก IP ที่เชื่อถือได้ หรือการปิดบริการที่มีความเสี่ยง เพื่อลดโอกาสในการถูกโจมตี

แหล่งอ้างอิง
[1] https://dg.th/r0iwnbgamp
[2] https://dg.th/uqikrv0e98
[3] https://dg.th/o18iem4592

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารด้านความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับฟีเจอร์ Lockdown Mode จาก Apple ซึ่งเป็นโหมดความปลอดภัยขั้นสูงที่ออกแบบมาเพื่อปกป้องอุปกรณ์และข้อมูลของผู้ใช้งาน เพื่อลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์

Lockdown Mode เป็นฟีเจอร์ด้านความปลอดภัยจาก Apple ที่ออกแบบมาเพื่อปกป้องผู้ใช้งานที่มีความเสี่ยงสูงจากการถูกโจมตีทางไซเบอร์แบบเฉพาะเจาะจง (Targeted Attack) โดยเฉพาะการโจมตีผ่านสปายแวร์ซึ่งมุ่งเข้าถึงข้อมูลสำคัญของผู้ใช้งาน เมื่อเปิดใช้งาน ระบบจะจำกัดการทำงานของแอป เว็บไซต์ และฟีเจอร์บางส่วน เพื่อลดช่องทางการโจมตี (Attack Surface) และเพิ่มระดับความปลอดภัยของอุปกรณ์และข้อมูลส่วนบุคคล [1]

ทั้งนี้ ขอแนะนำให้ผู้ใช้งานที่มีความเสี่ยงพิจารณาเปิดใช้งานฟีเจอร์ Lockdown Mode เพื่อยกระดับการป้องกัน โดยสามารถศึกษารายละเอียดเพิ่มเติมได้จากเว็บไซต์ของ Apple [2]

ประโยชน์ของ Lockdown Mode

• ข้อความ (Messages): บล็อกไฟล์แนบเกือบทุกชนิด (ยกเว้นรูปภาพ วิดีโอ และเสียงบางส่วน) รวมถึงปิดการใช้งานลิงก์และการแสดงตัวอย่างลิงก์
• การท่องเว็บ: บล็อกเทคโนโลยีเว็บที่ซับซ้อน เช่น JavaScript
• FaceTime: บล็อกการติดต่อจากคนแปลกหน้า หรือคำเชิญบริการต่างๆ จากคนที่ไม่เคยติดต่อด้วยมาก่อน
• ความปลอดภัยของอัลบั้มรูป: ตัดข้อมูลตำแหน่งที่ตั้ง (Location) ออกเมื่อแชร์รูป และซ่อน "อัลบั้มที่แชร์" ออกจากเครื่องชั่วคราว
• การเชื่อมต่ออุปกรณ์: เมื่อล็อกหน้าจอ เครื่องจะไม่ยอมรับการเชื่อมต่อต้องปลดล็อกเครื่องก่อนเสมอเพื่อเชื่อมต่อสายกับคอมพิวเตอร์หรืออุปกรณ์เสริม
• การเชื่อมต่อไร้สาย: ตัดการเชื่อมต่อและไม่เข้าร่วม Wi-Fi ที่ไม่ปลอดภัยโดยอัตโนมัติ รวมถึงปิดสัญญาณเซลลูลาร์ 2G และ 3G

ผลกระทบต่อการใช้งาน (Side Effects)

• เว็บไซต์โหลดช้าหรือแสดงผลเพี้ยน: เนื่องจากเว็บไซต์ทำงานได้ไม่สมบูรณ์ รูปภาพบางส่วนอาจหายไป หรือฟอนต์ดูแปลกเนื่องจากถูกบล็อกการทำงานของสคริปต์
• การแจ้งเตือนขาดหาย: อาจไม่ได้รับการแจ้งเตือนหรือตัวอย่างข้อมูลจากแอปที่ถูกจำกัดสิทธิ์
• ความสะดวกสบายลดลง: ไม่สามารถเชื่อมต่ออุปกรณ์เข้ากับรถยนต์ (CarPlay แบบสาย) หรือคอมพิวเตอร์เพื่อถ่ายโอนข้อมูลได้ทันทีในขณะที่เครื่องล็อกอยู่
• ใช้งานบางฟีเจอร์ไม่ได้: บริการที่ต้องใช้การเชื่อมโยงกับผู้อื่น เช่น Shared Albums ใน Photos จะหายไปจนกว่าจะปิดโหมดนี้

สิ่งที่ยังใช้งานได้ตามปกติ

• โทรศัพท์: สามารถรับสายและโทรออกด้วยระบบธรรมดา
• ข้อความ SMS: สามารถรับ-ส่งข้อความตัวอักษรธรรมดา
• ระบบฉุกเฉิน: คุณสมบัติ SOS และการแจ้งเตือนฉุกเฉินยังคงทำงานเต็มรูปแบบ

แหล่งอ้างอิง
[1] https://dg.th/lb47gmtsja
[2] https://dg.th/b3vx6ruwjc

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์และพบรายงานจาก Kaspersky ซึ่งเป็นบริษัทด้านความปลอดภัยไซเบอร์ระดับสากล เกี่ยวกับมัลแวร์ชนิดใหม่ชื่อ CrystalX RAT โดยมัลแวร์ดังกล่าวจัดอยู่ในประเภท Remote Access Trojan (RAT) ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถสอดแนม ขโมยข้อมูล และสั่งการเครื่องคอมพิวเตอร์ของเหยื่อ ทั้งนี้พบว่ามีการเผยแพร่และโฆษณามัลแวร์ดังกล่าวผ่านแพลตฟอร์ม Telegram และ YouTube [1]

1. รายละเอียดลักษณะการทำงานของมัลแวร์

CrystalX RAT มีความสามารถในการเข้าถึงและควบคุมระบบของผู้ใช้งานในหลายรูปแบบ ดังนี้
1.1 ขโมยข้อมูลรหัสผ่าน มัลแวร์สามารถดึงข้อมูลรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์ เช่น Google Chrome และ Microsoft Edge รวมถึงข้อมูลจากแอปพลิเคชันยอดนิยม เช่น Discord, Steam และ Telegram
1.2 บันทึกการกดแป้นพิมพ์ (Keylogging) มัลแวร์สามารถบันทึกข้อมูลการพิมพ์บนแป้นพิมพ์ หรือ Keylogger ซึ่งอาจรวมถึงรหัสผ่าน ข้อความสนทนา หรือข้อมูลสำคัญอื่น ๆ ที่ผู้ใช้งานพิมพ์ลงในระบบ
1.3 สอดแนมผ่านหน้าจอ กล้อง และไมโครโฟน ผู้โจมตีอาจใช้มัลแวร์เพื่อดูหน้าจอของเหยื่อแบบเรียลไทม์ เปิดใช้งานไมโครโฟนเพื่อดักฟังเสียง หรือเปิดกล้องเว็บแคมเพื่อสอดแนมโดยที่ผู้ใช้งานไม่ทราบ
1.4 ขโมยหรือแก้ไขข้อมูลในคลิปบอร์ด (Clipboard) มัลแวร์สามารถตรวจสอบข้อมูลที่ผู้ใช้งานคัดลอก (Copy) ไว้ในคลิปบอร์ด และอาจแก้ไขข้อมูลดังกล่าวก่อนนำไปวาง (Paste) เช่น เปลี่ยนเลขบัญชีปลายทางหรือข้อมูลสำคัญอื่นให้เป็นของผู้โจมตี
1.5 ควบคุมการทำงานของระบบ ผู้โจมตีสามารถใช้มัลแวร์เพื่อสั่งการเครื่องคอมพิวเตอร์ของเหยื่อได้ เช่น สั่งปิดเครื่อง เปลี่ยนภาพพื้นหลังหน้าจอ ควบคุมเมาส์ หรือเปิดหน้าต่างแชทเพื่อสื่อสารหรือข่มขู่ผู้ใช้งานโดยตรง

2. รูปแบบการแพร่กระจายและการโจมตี

มัลแวร์ CrystalX RAT มักแพร่กระจายผ่านการหลอกล่อให้ผู้ใช้งานดาวน์โหลดไฟล์หรือโปรแกรมที่เป็นอันตราย โดยมักแฝงมากับซอฟต์แวร์เถื่อนหรือซอฟต์แวร์ละเมิดลิขสิทธิ์ เกมเถื่อนหรือโปรแกรมช่วยเล่นเกม (Cheat Tools) โปรแกรมที่อ้างว่าเป็นเครื่องมือเสริมหรือโปรแกรมอรรถประโยชน์ไฟล์แนบที่ถูกส่งผ่านช่องทางแชทซึ่งอาจปลอมแปลงให้ดูเหมือนเป็นไฟล์เอกสารหรือไฟล์ติดตั้งที่ปลอดภัย

3. แนวทางการป้องกัน

3.1 ดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้เท่านั้น หลีกเลี่ยงการติดตั้งซอฟต์แวร์ละเมิดลิขสิทธิ์ โปรแกรมแปลกปลอม หรือไฟล์จากแหล่งเผยแพร่ที่ไม่น่าเชื่อถือ โดยเฉพาะจากกลุ่ม Telegram หรือลิงก์ใต้คลิปวิดีโอใน YouTube
3.2 เฝ้าระวังความผิดปกติของอุปกรณ์หากพบพฤติกรรมผิดปกติ เช่น เมาส์เคลื่อนที่เอง มีหน้าต่างโปรแกรมแปลกปลอมเปิดขึ้นโดยไม่ได้สั่งงาน หรือไฟแสดงสถานะกล้องเว็บแคมติดขึ้นเอง ควรพิจารณาว่าอาจมีความเสี่ยงจากการติดมัลแวร์
3.3 เปิดใช้งานการยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication: MFA หรือ 2FA) แม้ผู้โจมตีจะสามารถขโมยรหัสผ่านได้ แต่การเปิดใช้ 2FA จะช่วยลดความเสี่ยงในการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต
3.4 ติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ ควรติดตั้งโปรแกรม Antivirus/Anti-malware ที่เชื่อถือได้ และอัปเดตฐานข้อมูลภัยคุกคามให้เป็นปัจจุบันอยู่เสมอ รวมถึงตรวจสอบให้แน่ใจว่า Windows Defender หรือระบบป้องกันที่ใช้งานอยู่เปิดทำงานตามปกติ
3.5 ตรวจสอบข้อมูลก่อนวางจากคลิปบอร์ดก่อนกดวางข้อมูลสำคัญ เช่น เลขบัญชี หรือข้อมูลสำหรับการทำธุรกรรม ควรตรวจสอบความถูกต้องอีกครั้ง เพื่อป้องกันกรณีมัลแวร์แก้ไขข้อมูลในคลิปบอร์ด

แหล่งอ้างอิง
[1] https://www.securityweek.com/sophisticated-crystalx-rat-emerges/

️ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์และพบรายงานจาก Microsoft เกี่ยวกับการโจมตีที่มุ่งเป้าผู้ใช้งานแอปพลิเคชัน WhatsApp บนระบบปฏิบัติการ Windows ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมระบบของผู้ใช้งานได้ การโจมตีดังกล่าว ไม่ได้อาศัยช่องโหว่ของซอฟต์แวร์โดยตรง แต่เป็นการใช้เทคนิค Social Engineering เพื่อหลอกล่อให้ผู้ใช้งานเปิดไฟล์แนบที่เป็นอันตรายด้วยตนเอง ส่งผลให้เครื่องคอมพิวเตอร์อาจถูกติดตั้งมัลแวร์หรือซอฟต์แวร์สำหรับควบคุมเครื่องคอมพิวเตอร์ได้

1. รายละเอียดลักษณะการโจมตี
   พบว่าผู้โจมตีมุ่งเป้าไปยังผู้ใช้งานแอปพลิเคชัน WhatsApp บนระบบปฏิบัติการ Windows โดยเฉพาะ เวอร์ชันที่ต่ำกว่า 2.2450.6 ผ่านการส่งไฟล์แนบอันตรายที่แสดงลักษณะคล้ายไฟล์ทั่วไป แต่เป็นไฟล์นามสกุล .vbs (Visual Basic Script) ซึ่งสามารถเรียกทำงานได้ทันทีเมื่อผู้ใช้งานเปิดไฟล์ เมื่อผู้ใช้งานหลงเชื่อและเปิดไฟล์ดังกล่าว สคริปต์จะเริ่มทำงานโดยคัดลอกตัวเองไปซ่อนในโฟลเดอร์ภายในระบบ และเปลี่ยนชื่อให้คล้ายไฟล์ระบบเพื่อหลีกเลี่ยงการตรวจจับ จากนั้นจะดาวน์โหลดมัลแวร์เพิ่มเติมจากบริการคลาวด์ที่น่าเชื่อถือ
   เพื่อทำให้ทราฟฟิกดูคล้ายการใช้งานปกติของผู้ใช้ ก่อนพยายามยกระดับสิทธิ์เป็นผู้ดูแลระบบ เพื่อติดตั้งซอฟต์แวร์ที่เปิดทางให้ผู้โจมตีสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ได้ และคงอยู่ภายในระบบได้อย่างต่อเนื่อง

2. แนวทางการป้องกัน
   2.1 หลีกเลี่ยงการเปิดไฟล์แนบจากบุคคลที่ไม่รู้จักและควรยืนยันกับผู้ส่งผ่านช่องทางอื่นก่อนเปิดทุกครั้ง
   2.2 เปิดแสดงนามสกุลไฟล์ (File Name Extensions) เพื่อให้สามารถตรวจสอบประเภทไฟล์ได้ หากพบไฟล์นามสกุล .vbs หรือ .msi ไม่ควรเปิดใช้งานโดยเด็ดขาดหากไม่มั่นใจว่าเป็นไฟล์ที่ปลอดภัย
   2.3 อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ โดยเฉพาะแอปพลิเคชัน WhatsApp และระบบปฏิบัติการ Windows ให้เป็นเวอร์ชันล่าสุด
   2.4 หากปรากฏการแจ้งเตือนขอสิทธิ์ผู้ดูแลระบบ (UAC) หรือพบการติดตั้งโปรแกรมที่ผิดปกติโดยไม่ได้ดำเนินการเอง ควรปฏิเสธการให้สิทธิ์และตรวจสอบระบบทันที
   2.5 ติดตั้งและใช้งานโปรแกรมป้องกันมัลแวร์หรือโปรแกรมป้องกันไวรัสที่มีการอัปเดตฐานข้อมูลอย่างต่อเนื่อง เพื่อช่วยตรวจจับการทำงานของไฟล์อันตราย

ข้อสังเกตเพิ่มเติม
การโจมตีในลักษณะนี้เน้นอาศัยความประมาทหรือความเข้าใจผิดของผู้ใช้งาน (User Interaction) เป็นหลัก รวมถึงการใช้เทคนิค Living-off-the-Land (LOLBins) ซึ่งเป็นการใช้เครื่องมือมาตรฐานที่มีอยู่ในระบบ Windows มาใช้ในทางที่ผิด เพื่อให้การตรวจจับโดยซอฟต์แวร์ความปลอดภัยทำได้ยากขึ้น

แหล่งอ้างอิง
[1] https://dg.th/2xrzpit8c5

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ กรณี Microsoft แจ้งเตือนผู้ดูแลระบบ IT และผู้ใช้งานองค์กร ให้ดำเนินการแก้ไขปัญหา Outlook Classic ขัดข้องเนื่องจากส่วนเสริม Teams Meeting ที่เกิดจากความไม่เข้ากันของตัวโปรแกรม Outlook รุ่นก่อนหน้ากับส่วนเสริมของระบบ [1]

1. กลุ่มอุปกรณ์ที่เข้าข่ายได้รับผลกระทบ
   1.1 โปรแกรม Outlook Classic ที่อยู่ใน Current Channel เวอร์ชัน 2402 (รุ่น 17328.20142) หรือต่ำกว่า
   1.2 อุปกรณ์ที่มีการเปิดใช้งานร่วมกับ Microsoft Teams Meeting Add-in เวอร์ชันใหม่ล่าสุด รุ่น 1.26.02603

2. รูปแบบพฤติกรรมการโจมตี
   เมื่อโปรแกรม Outlook แบบคลาสสิกรุ่นเก่าพยายามทำงานร่วมกับ Teams Meeting Add-in เวอร์ชันใหม่ล่าสุด จะส่งผลให้ระบบทำงานผิดพลาดและเกิดการขัดข้อง (Crash) ผู้ใช้งานจะไม่สามารถใช้งานแอปพลิเคชันอีเมลได้ตามปกติ และระบบจะบังคับแสดงหน้าต่างแจ้งเตือนให้ผู้ใช้ต้องเริ่มการทำงานใหม่ผ่านโหมดปลอดภัย (Safe Mode) ซึ่งส่งผลกระทบต่อความต่อเนื่องในการทำงาน

3. การแก้ไขช่องโหว่ / รายละเอียดการอัปเดต
   ปัจจุบัน Microsoft ได้รับทราบและดำเนินการแก้ไขข้อผิดพลาดดังกล่าวเป็นที่เรียบร้อยแล้ว [2] โดยผู้พัฒนาได้อัปเดตตัวแก้ไขปัญหาของ Microsoft Teams เป็นเวอร์ชัน 26058.712.4527.9297

4. แนวทางการปฏิบัติสำหรับผู้ใช้ที่ได้รับผลกระทบ
   4.1 การแก้ไขแบบถาวร ผู้ดูแลระบบควรแจ้งหรือดำเนินการอัปเดตไคลเอ็นต์ Outlook แบบคลาสสิกของผู้ใช้งานให้เป็นเวอร์ชันอัปเดตล่าสุด
   4.2 การแก้ไขปัญหาชั่วคราว (Workaround) สำหรับผู้ใช้ที่ยังจำเป็นต้องใช้งาน Office รุ่นเก่า สามารถตั้งค่าปิดการใช้งาน Add-in ที่มีปัญหาชั่วคราวได้ตามขั้นตอนดังนี้
   • เปิด Outlook ใน Safe Mode โดยกดปุ่ม Ctrl ค้างไว้เมื่อเริ่มเปิดแอปพลิเคชัน (หรือใช้วิธีค้นหาคำสั่งเปิด Outlook ใน Safe Mode ของระบบ)
   • ไปที่เมนู File > Options > Add-ins > เลือก Go
   • ในหน้าต่าง COM Add-ins ให้ยกเลิกการเลือกเครื่องหมายถูก (Uncheck) ที่หัวข้อ Microsoft Teams Meeting Add-in for Microsoft Office จากนั้นคลิก OK
   • รีสตาร์ท (Restart) โปรแกรม Outlook เพื่อกลับเข้าสู่การใช้งานตามปกติ

#CyberSecurity #ITAdmin #Microsoft365 #OutlookClassic #MicrosoftTeams #TechNews #ITSupport #TechUpdate

แหล่งอ้างอิง
[1] https://dg.th/6f2nrlh3ak
[2] https://dg.th/k1db7oxc95

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand