โพสต์ถูกสร้างโดย NCSA_THAICERT

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Industrial Sector

• • Siemens RUGGEDCOM APE1808 Devices
    "Fortinet has published information on vulnerabilities in FORTIOS. This advisory lists the related Siemens Industrial products. Siemens has released a new version for RUGGEDCOM APE1808 and recommends to update to the latest version."
    https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-02
• Siemens SIMATIC
  "SIMATIC S7-1500 devices contain a vulnerability that could allow an attacker to inject code by tricking a legitimate user into importing a specially crafted trace file in the web interface. Siemens has released new versions for several affected products and recommends to update to the latest versions. Siemens is preparing further fix versions and recommends specific countermeasures for products where fixes are not, or not yet available."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-04
• Siemens SIDIS Prime
  "SIDIS Prime before V4.0.800 is affected by multiple vulnerabilities in the components OpenSSL, SQLite, and several Node.js packages as described below. Siemens has released a new version of SIDIS Prime and recommends to update to the latest version."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-03
• Trane Tracer SC, Tracer SC+, And Tracer Concierge
  "Successful exploitation of these vulnerabilities could allow an attacker to disclose sensitive information, execute arbitrary commands, or perform a denial-of-service on the product."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-01
• Siemens Heliox EV Chargers
  "Heliox EV Chargers listed below contain improper access control vulnerability that could allow an attacker to reach unauthorized services via the charging cable. Siemens has released new versions for the affected products and recommends to update to the latest versions."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-05
• Inductive Automation Ignition Software
  "Successful exploitation of this vulnerability could allow an attacker to execute malicious code with OS application service account permissions that the authenticated, privileged application user did not intend on running."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-071-06
• Beyond CVSS: OT Security Looks For Its Risk Methodology
  "A mainstay of IT security programs across the world, the Common Vulnerability Scoring System, may have terminal flaws when applied to the mirror universe of operational technology - a place where ordinary assumptions about risk don't apply. OT have long argued that CVSS is an inadequate measure for their purposes. In November 2023, the Forum of Incident Response and Security Teams, which maintains CVSS, sought to address those complaints with a new version, CVSS 4.0. But a growing number of OT security experts believe it's becoming clear that CVSS can't be "fixed" - even putting aside issues such as the administrative burden required to implement CVSS 4.0 in the OT world."
  https://www.bankinfosecurity.com/beyond-cvss-ot-security-looks-for-its-risk-methodology-a-31038
• What Smart Factories Keep Getting Wrong About Cybersecurity
  "In this Help Net Security interview, Packsize CSO Troy Rydman breaks down the biggest vulnerabilities in smart factory environments today, from IoT devices and legacy systems to human error. He explains how unmanaged devices, from sensors to robotic components, often go unpatched and become entry points for attackers. Legacy infrastructure is frequently overlooked as organizations move to cloud and SaaS platforms, leaving outdated systems exposed. Employees remain a persistent weak point, not because of negligence, but because human nature can be exploited through social engineering and phishing. Rydman also addresses the ongoing tension between production uptime and security requirements, and how organizations can find the right risk threshold by keeping stakeholders informed, investing in training, and building a security-aware company culture."
  https://www.helpnetsecurity.com/2026/03/16/troy-rydman-packsize-smart-factory-cybersecurity-risks/

New Tooling

• VulHunt: Open-Source Vulnerability Detection Framework
  "Binarly has published VulHunt Community Edition, making the core scanning engine from Binarly’s commercial Transparency Platform available to independent researchers and practitioners. VulHunt Community Edition is a framework for detecting vulnerabilities in compiled software. It operates against multiple binary representations simultaneously, working across disassembly, an intermediate representation layer, and decompiled code. Targets include POSIX executables and UEFI firmware modules."
  https://www.helpnetsecurity.com/2026/03/16/vulhunt-open-source-vulnerability-detection-framework/
  https://github.com/vulhunt-re/vulhunt

Vulnerabilities

• CISA Adds One Known Exploited Vulnerability To Catalog
  "CISA has added one new vulnerability to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
  CVE-2025-47813 Wing FTP Server Information Disclosure Vulnerability"
  https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalog
  https://www.bleepingcomputer.com/news/security/cisa-flags-wing-ftp-server-flaw-as-actively-exploited-in-attacks/
  https://securityaffairs.com/189530/security/u-s-cisa-adds-a-flaw-in-wing-ftp-server-to-its-known-exploited-vulnerabilities-catalog.html
• Pwning AI Code Interpreters In AWS Bedrock AgentCore
  "During research into AI code execution environments, BeyondTrust Phantom Labs discovered that AWS Bedrock AgentCore Interpreter’s Sandbox network mode does not fully block outbound communication. AWS originally advertised Sandbox mode as providing “complete isolation with no external access.” However, Phantom Labs discovered that public DNS queries remain allowed. This behavior can enable threat actors to establish command-and-control channels and data exfiltration over DNS in certain scenarios, bypassing the expected network isolation controls. Specifically, the Code Interpreter can query A and AAAA DNS records."
  https://www.beyondtrust.com/blog/entry/aws-bedrock-agentcore-sandbox-breakout
  https://www.infosecurity-magazine.com/news/security-flaw-aws-bedrock/
  https://hackread.com/data-leak-risk-in-aws-bedrock-ai-code-interpreter/

Malware
LiveChat Abuse: How Phishers Are Exploiting SaaS Support Tools To Steal Sensitive Data
"The Cofense Phishing Defense Center (PDC) has recently identified a unique phishing campaign utilizing the software as a service (SaaS) LiveChat - a customer service software featuring live messaging and AI to provide a line of support for businesses. Unlike typical refund scams or credential phish, this campaign engages victims through a real-time chat interface, impersonating well-known brands in order to harvest sensitive data such as account credentials, credit card details, multi-factor authentication (MFA) codes, and other personally identifiable information (PII)."
https://cofense.com/blog/livechat-abuse-how-phishers-are-exploiting-saas-support-tools-to-steal-sensitive-data
https://www.darkreading.com/threat-intelligence/attackers-livechat-phish-credit-card-personal-data
https://hackread.com/phishing-scam-livechat-pose-as-amazon-paypal/

• AI-Assisted Phishing Campaign Exploits Browser Permissions To Capture Victim Data
  "Cyble Research & Intelligence Labs (CRIL) has identified a widespread, highly active social engineering campaign hosted primarily on edgeone.app infrastructure. The initial access vectors are diverse — ranging from “ID Scanner,” and “Telegram ID Freezing,” to “Health Fund AI”—to trick users into granting browser-level hardware permissions such as camera and microphone access under the pretext of verification or service recovery."
  https://cyble.com/blog/ai-assisted-phishing-campaign/
• Malware-As-A-Service Redefined: Why XWorm Is Outpacing Every Other RAT In The Underground Malware Market
  "In the evolving landscape of cybercrime, threat actors are constantly pursuing the "perfect" weapon: malware that is lightweight, modular, and—most importantly—stealthy. The underground market eagerly adopts any tool that balances high functionality with low detection rates. XWorm has emerged as the premier example of this shift. Following the significant disruption caused by XWorm v6.X, the community is now grappling with the even more potent Version 7.x. In this blog, we will see how attackers have tried to target a Taiwan-based network security company. This analysis dissects the active XWorm v7.1 kill chain, explores the market trends fueling its growth, and exposes the Telegram channels where this sophisticated RAT is sold as a high-tier commodity."
  https://www.trellix.com/blogs/research/malware-as-a-service-redefined-xworm-rat/
  https://hackread.com/xworm-7-1-remcos-rat-windows-tools-evade-detection/
• • Global Scam Machines: Inside a Meta-Powered Investment Fraud Ecosystem Spanning 25 Countries
    "In February-March 2026, Bitdefender Labs identified and mapped a sprawling global scam infrastructure and scalable disinformation-for-profit network that uses trusted news brands, real personalities, fabricated media narratives, emotional hooks, and advanced evasion techniques to drive victims into investment fraud funnels. On February 9-March 5, 2026, we analyzed 310 malvertising campaigns distributed through paid advertising on Meta platforms."
    https://www.bitdefender.com/en-us/blog/labs/global-investment-scam-network-using-meta-ads
    https://www.helpnetsecurity.com/2026/03/16/facebook-ads-investment-fraud-campaigns/
• The Rise Of Fake Shipment Tracking Scams In MEA
  "Every day, billions of people rely on postal and courier services to deliver everything from handwritten letters to high value online orders. These services form the backbone of the global marketplace, especially in the age of e-commerce. According to the 2024 Universal Postal Union’s State of the Postal Sector report , postal services now serve a population of 7.3 billion people, and without them, a country’s GDP could drop by a median of 7%. And according to Statista, about 161 billion parcels were shipped worldwide in 2022 alone. Some of the top countries driving this volume include:"
  https://www.group-ib.com/blog/mea-shipment-tracking-scam/
  https://www.infosecurity-magazine.com/news/global-surge-fake-shipment/
• Hacked Sites Deliver Vidar Infostealer To Windows Users
  "In recent years, ClickFix and fake CAPTCHA techniques have become a popular way for cybercriminals to distribute malware. Instead of exploiting a technical vulnerability, these attacks rely on convincing people to run malicious commands themselves. Our researchers have recently detected a campaign that ultimately delivers the Vidar infostealer, using several different infection chains."
  https://www.malwarebytes.com/blog/threat-intel/2026/03/hacked-sites-deliver-vidar-infostealer-to-windows-users
• Free Real Estate: GoPix, The Banking Trojan Living Off Your Memory
  "GoPix is an advanced persistent threat targeting Brazilian financial institutions’ customers and cryptocurrency users. It represents an evolved threat targeting internet banking users through memory-only implants and obfuscated PowerShell scripts. It evolved from the RAT and Automated Transfer System (ATS) threats that were used in other malware campaigns into a unique threat never seen before. Operating as a LOLBin (Living-off-the-Land Binary), GoPix exemplifies a sophisticated approach that integrates malvertising vectors via platforms such as Google Ads to compromise prominent financial institutions’ customers."
  https://securelist.com/gopix-banking-trojan/119173/
• DRILLAPP Backdoor Targets Ukraine, Abuses Microsoft Edge Debugging For Stealth Espionage
  "Ukrainian entities have emerged as the target of a new campaign likely orchestrated by threat actors linked to Russia, according to a report from S2 Grupo's LAB52 threat intelligence team. The campaign, observed in February 2026, has been assessed to share overlaps with a prior campaign mounted by Laundry Bear (aka UAC-0190 or Void Blizzard) aimed at Ukrainian defense forces with a malware family known as PLUGGYAPE. The attack activity "employs various judicial and charity themed lures to deploy a JavaScript‑based backdoor that runs through the Edge browser," the cybersecurity company said. Codenamed DRILLAPP, the malware is capable of uploading and downloading files, leveraging the microphone, and capturing images through the webcam by taking advantage of the web browser's features."
  https://thehackernews.com/2026/03/drillapp-backdoor-targets-ukraine.html
  https://therecord.media/russia-ukraine-cyber-espionage-group
  https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html
• Former Germany’s Foreign Intelligence VP Hit In Signal Account Takeover Campaign
  "A cyberattack targeting Signal and WhatsApp users has hit high-ranking German officials, including former BND Vice President Arndt Freytag von Loringhoven. The official reported being contacted by someone posing as Signal support and asked for his PIN. This incident highlights a broader cyber espionage campaign against sensitive individuals in security agencies and political positions. “He is far from the only prominent victim of the global wave of attacks against user accounts at Signal and WhatsApp. According to SPIEGEL, high-ranking German politicians have reported themselves to the authorities as victims, and active officials in security agencies have also been attacked.” reads the report published by SPIEGEL."
  https://securityaffairs.com/189509/intelligence/former-germanys-foreign-intelligence-vp-hit-in-signal-account-takeover-campaign.html
• European Security Vendor Targeted By Hackers Fronting As Cisco Domain
  "On March 13, 2026, the threat intelligence team at Outpost24, Specops’ parent company, discovered a sophisticated multi-chain redirect phishing campaign fronting as Cisco, a global network equipment provider. The attack is quite complex, leveraging several trusted services as well as compromised legitimate infrastructure to conceal the final phishing destination. Several stages redirect victims through legitimate or previously reputable domains, reducing the likelihood that security scanners or reputation-based filtering will block the link."
  https://specopssoft.com/blog/phishing-campaign-cisco/
  https://www.securityweek.com/security-firm-executive-targeted-in-sophisticated-phishing-attack/
• ForceMemo: Hundreds Of GitHub Python Repos Compromised Via Account Takeover And Force-Push
  "The StepSecurity threat intelligence team has discovered an ongoing campaign in which an attacker is compromising hundreds of GitHub accounts and injecting identical malware into hundreds of Python repositories. The earliest injections date to March 8, 2026, and the campaign is still active with new repos continuing to be compromised. The attack targets Python projects — including Django apps, ML research code, Streamlit dashboards, and PyPI packages — by appending obfuscated code to files like setup.py, main.py, and app.py. Anyone who runs pip install from a compromised repo or clones and executes the code will trigger the malware."
  https://www.stepsecurity.io/blog/forcememo-hundreds-of-github-python-repos-compromised-via-account-takeover-and-force-push
  https://thehackernews.com/2026/03/glassworm-attack-uses-stolen-github.html
  https://www.securityweek.com/forcememo-python-repositories-compromised-in-glassworm-aftermath/
• Sandworm: Russia's Global Infrastructure Wrecking Crew
  "Sandworm is a threat group attributed to the Russian Federation (Russia) General Staff Main Intelligence Directorate (GRU). The group operates as a unit within the Russian military and was identified in 2014 while using BlackEnergy malware and a Windows zero‑day (CVE‑2014‑4114) to conduct spear phishing and reconnaissance operations. It wasn’t until December of the following year that the group showed how truly dangerous it was at the time."
  https://blog.barracuda.com/2026/03/16/sandworm--russia-s-global-infrastructure-wrecking-crew
• Evil Evolution: ClickFix And MacOS Infostealers
  "As we noted in December 2025, ClickFix is an increasingly common social engineering technique, which threat actors use to trick users into installing malicious software on their devices. Unlike traditional exploit-based attacks, this method relies entirely on user interaction – usually in the form of copying and executing commands – making it particularly effective against users who may not appreciate the implications of running unknown and obfuscated terminal commands. It’s also worth noting that, unlike most modern phishing techniques, phishing-resistant authentication (e.g., FIDO2) is not an effective defence against ClickFix attacks."
  https://www.sophos.com/en-us/blog/evil-evolution-clickfix-and-macos-infostealers
  https://thehackernews.com/2026/03/clickfix-campaigns-spread-macsync-macos.html
• Cyberattack Disrupts Parking Payments In Russian City
  "The Russian city of Perm has restored its parking payment system after a cyberattack last week knocked the service offline and temporarily made parking free for several days. City authorities confirmed Monday that the system is now fully operational and that all payment methods are working normally. The disruption was caused by a large-scale distributed denial-of-service (DDoS) attack that overwhelmed the city’s automated parking payment infrastructure, according to local officials."
  https://therecord.media/cyberattack-russia-parking-system
• Web Shells, Tunnels, And Ransomware: Dissecting a Warlock Attack
  "We have identified new tactics, techniques, and procedures (TTPs) used by the Warlock ransomware group (tracked by TrendAI as Water Manaul). In our previous article, we detailed how Warlock exploited unpatched Microsoft SharePoint servers to deploy LockBit-derived ransomware with the .x2anylock extension, using Cloudflare tunnels for command and control (C&C) and Rclone for data exfiltration. Warlock’s method of initial access to victim networks has remained consistent; however, it has added new techniques to enhance its persistence, lateral movement, and defense evasion. These new observations include the usage of TightVNC (a remote access tool) to maintain persistent control, abuse of new open-source tools to conduct C&C communications, and a persistent Bring Your Own Vulnerable Driver (BYOVD) technique that leverages a vulnerability in the NSec driver.."
  https://www.trendmicro.com/en_us/research/26/c/dissecting-a-warlock-attack.html
• Boggy Serpens Threat Assessment
  "We have been tracking ongoing cyberespionage campaigns by the threat group Boggy Serpens, also known as MuddyWater. Attributed to the Iranian Ministry of Intelligence and Security (MOIS), the group consistently targets diplomatic and critical infrastructure – including energy, maritime and finance – across the Middle East and other strategic targets around the world. We provide a comprehensive threat assessment of Boggy Serpens’ activities over the last year. Our analysis reveals a highly adaptable threat actor that has refined its operational strategy to focus on trusted relationship compromises and multi-wave targeting of key strategic organizations."
  https://unit42.paloaltonetworks.com/boggy-serpens-threat-assessment/

Breaches/Hacks/Leaks

• UK’s Companies House Confirms Security Flaw Exposed Business Data
  "Companies House, a British government agency that operates the registry for all U.K. companies, says its WebFiling service is back online after it was closed on Friday to fix a security flaw that exposed companies' information since October 2025. Dan Neidle, founder of the non-profit Tax Policy Associates, reported the vulnerability to the U.K. corporate register on Friday after Ghost Mail's John Hewitt (who discovered the flaw) didn't receive a reply. "All that was required was to log in to Companies House using your own details and access your own company's dashboard. Then opt to "file for another company" and enter the company number for any one of the five million companies registered with Companies House," said Neidle."
  https://www.bleepingcomputer.com/news/security/uks-companies-house-confirms-security-flaw-exposed-business-data/
  https://taxpolicy.org.uk/2026/03/13/companies-house-security-vulnerability-directors-addresses/
  https://www.infosecurity-magazine.com/news/companies-house-glitch-exposes/
  https://www.theregister.com/2026/03/16/companies_house_breach/
  https://www.bankinfosecurity.com/uk-agency-exposed-corporate-executive-data-a-31033
  https://hackread.com/companies-house-webfiling-flaw-director-details/
• Stryker Attack Wiped Tens Of Thousands Of Devices, No Malware Needed
  "Last week's cyberattack on medical technology giant Stryker was limited to its internal Microsoft environment and remotely wiped tens of thousands of employee devices. The organization says in an update on Sunday that all its medical devices are safe to use but electronic ordering systems remain offline, and customers must place orders manually through sales representatives. Stryker emphasizes that the incident was not a ransomware attack and that the threat actor did not deploy any malware on its systems."
  https://www.bleepingcomputer.com/news/security/stryker-attack-wiped-tens-of-thousands-of-devices-no-malware-needed/
  https://therecord.media/stryker-cyberattack-impact-iran
• Oracle EBS Hack: Only 4 Corporate Giants Still Silent On Potential Impact
  "Several global giants listed as victims of the recent hacking campaign targeting Oracle E-Business Suite (EBS) customers have remained mum on the impact of the cybersecurity incident. The Cl0p ransomware and extortion group has taken credit for the EBS hacking campaign, which involved exploiting zero-day vulnerabilities to access data stored by organizations in Oracle’s enterprise management software. The compromised data was then leveraged for extortion. While Cl0p serves as the public-facing extortion brand for the campaign, the cybersecurity community believes the operation may have been driven by a cluster of threat actors, most notably FIN11."
  https://www.securityweek.com/oracle-ebs-hack-only-4-corporate-giants-still-silent-on-potential-impact/
• Robotics Surgical Biz Intuitive Discloses Phishing Attack
  "Robotics-assisted surgical tech firm Intuitive said that unauthorized intruders gained access to some of its internal IT business applications after stealing an employee's credentials during a phishing attack. Intuitive's statement on the cybersecurity incident doesn't indicate when the attack occurred or when the company discovered it. The Register has reached out to Intuitive about these and other questions, and we will update this story as soon as we receive any response. Stolen data includes some customer business and contact information, along with Intuitive employee and corporate data, according to the statement."
  https://www.theregister.com/2026/03/16/robotics_surgical_biz_intuitive_discloses/

General News

• Attackers Are Exploiting AI Faster Than Defenders Can Keep Up, New Report Warns
  "Cybersecurity is entering “a new phase” as artificial intelligence tools have matured and given IT defenders significantly less time to respond to cyberattacks and other threats, according to a new report released Monday. The report, authored by federal contractor Booz Allen Hamilton, concludes that threat actors have adopted AI more quickly than governments and private companies have adopted it for cyber defense. It points to multiple incidents over the past two years, like attacks carried out with the help of Anthropic’s Claude, that show both cybercriminals and state-sponsored hacking groups are moving and scaling faster than ever before."
  https://cyberscoop.com/booz-allen-report-ai-helps-attackers-move-faster-than-current-defenses/
  https://www.boozallen.com/expertise/cybersecurity/threat-report-when-cyberattacks-happen-at-ai-speed.html
• Inside Olympic Cybersecurity: Lessons From Paris 2024 To Milan Cortina 2026
  "The Olympics are a global spectacle, uniting nations through the thrill of competition and the celebration of human achievement. During this year's Winter Olympic and Paralympic Games we watched Alysa Liu reclaim figure skating, a sport she once left behind, landing in first place. The US women's and men's ice hockey teams took gold, ending a 46-year Olympic drought for the latter. Lucas Pinheiro Braathen won gold in the men's giant slalom, bringing home the first Winter Olympics medal for Brazil. And on the seventh day of the Paralympic Winter Games, host country Italy surpassed its previous high score of 13 medals, bumping their tally up to 14."
  https://www.darkreading.com/threat-intelligence/olympic-cybersecurity-paris-2024-milan-2026
• Certificate Lifespans Are Shrinking And Most Organizations Aren’t Ready
  "The push for shorter TLS certificate lifespans has been building for years. It started with Google’s internal push toward 90-day certificates, which gained traction inside the industry before resistance from enterprise customers slowed things down. Then Apple proposed 47-day certificates, which reignited the debate and ultimately forced the CA/Browser Forum to set a formal schedule. The timeline that came out of those discussions moves certificate validity from one year down to 200 days, then 100, then 47 over a roughly three-year span. That schedule puts pressure on organizations to overhaul both their purchasing models and their operational processes for managing certificates."
  https://www.helpnetsecurity.com/2026/03/16/globalsign-tls-certificate-lifecycle-management/
• Fortify Your Network Security From Emerging Geopolitical Cyberthreats
  "Since the start of the 2026 conflict in the Middle East on February 28, 2026, Akamai has observed a 245% increase in cybercrime targeting critical businesses and institutions in North America, Europe, and parts of Asia-Pacific. Handala, a hacktivist group that is reported to have links to Iran’s intelligence agencies, has claimed responsibility for a data-wiping attack against Stryker, a global medical technology company headquartered in Kalamazoo, Michigan. Geopolitically motivated hacktivists are using proxy services in countries like Russia and China as a source for billions of designed-for-abuse connection attempts."
  https://www.akamai.com/blog/security/fortify-network-security-emerging-geopolitical-cyberthreats
  https://www.theregister.com/2026/03/16/cybercrime_iran_war_245_percent_rise/
• INTERPOL Report Warns Of Increasingly Sophisticated Global Financial Fraud Threat
  "Financial fraud is now one of the world’s most severe and rapidly evolving transnational crimes, with significant economic and human consequences. The 2026 INTERPOL Global Financial Fraud Threat Assessment warns that with increased global criminal collaboration, fraud is no longer a peripheral threat, it is at the centre of polycriminality, intersecting with organized crime, human trafficking and cybercrime."
  https://www.interpol.int/News-and-Events/News/2026/INTERPOL-report-warns-of-increasingly-sophisticated-global-financial-fraud-threat
  https://www.interpol.int/content/download/24291/file/INTERPOL Global Financial Fraud Threat Assessment 2026.pdf
  https://www.theregister.com/2026/03/16/interpol_ai_fraud/
• Iranian Cyber Threat Evolution: From MBR Wipers To Identity Weaponization
  "Recent cyberattacks attributed to Iranian threat actors extend beyond typical network disruption. Rather than an isolated incident of sabotage, this type of attack sits within a broader context defined by Iran's reliance on asymmetric retaliation and historical proxy doctrine. Iran-aligned threat actors increasingly leverage cyberspace as a strategic equalizer. For the Islamic Revolutionary Guard Corps (IRGC) and the Ministry of Intelligence and Security (MOIS), cyber operations provide a low-cost, high-impact mechanism for retaliation without crossing any geographical boundaries. In this environment, global organizations face increased cyber risk, as traditional malware deployment intersects with novel identity abuse. The shift from custom-built wiper malware to native administrative abuse removes a critical detection guardrail that historically protected enterprise networks."
  https://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/
• The Ransomware Economy Is Shifting Toward Straight-Up Data Extortion
  "Ransomware remains a scourge that shows some signs of relenting, but incident responders and threat hunters are busier than ever as more financially-motivated attackers lean exclusively on data theft for extortion. Attacks that only involve data theft for extortion may not be more prevalent than traditional ransomware when attackers encrypt systems, but momentum is moving in that direction, Genevieve Stark, head of cybercrime intelligence at Google Threat Intelligence Group, told CyberScoop."
  https://cyberscoop.com/google-threat-intelligence-group-ransomware-report-2026/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

Financial Sector

• February 2026 Security Issues Related To The Korean & Global Financial Sector
  "This report comprehensively covers actual cyber threats and related security issues targeting financial institutions in South Korea and abroad. It includes analysis of malware and phishing cases distributed targeting the financial sector, presents the Top 10 major malware targeting the financial sector, and provides statistics on the industry sectors of South Korean accounts leaked via Telegram. It also details cases of phishing emails distributed targeting the financial sector."
  https://asec.ahnlab.com/en/92903/

New Tooling

• Betterleaks, a New Open-Source Secrets Scanner To Replace Gitleaks
  "A new open-source tool called Betterleaks can scan directories, files, and git repositories and identify valid secrets using default or customized rules. Secret scanners are specialized utilities that scour repositories for sensitive information, such as credentials, API keys, private keys, and tokens, that developers accidentally committed in source code. Since threat actors often scan configuration files in public repositories for sensitive details, this type of utility can help identify secrets and protect them before attackers can find them."
  https://www.bleepingcomputer.com/news/security/betterleaks-a-new-open-source-secrets-scanner-to-replace-gitleaks/
  https://github.com/betterleaks/betterleaks

Vulnerabilities

• Google Fixes Two New Chrome Zero-Days Exploited In Attacks
  "Google has released emergency security updates to patch two high-severity Chrome vulnerabilities exploited in zero-day attacks. "Google is aware that exploits for both CVE-2026-3909 & CVE-2026-3910 exist in the wild," Google said in a security advisory published on Thursday. The first zero-day (CVE-2026-3909) stems from an out-of-bounds write weakness in Skia, an open-source 2D graphics library responsible for rendering web content and user interface elements, which attackers can exploit to crash the web browser or even gain code execution."
  https://www.bleepingcomputer.com/news/google/google-fixes-two-new-chrome-zero-days-exploited-in-attacks/
  https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html
  https://www.securityweek.com/chrome-146-update-patches-two-exploited-zero-days/
  https://securityaffairs.com/189373/hacking/google-fixed-two-new-actively-exploited-flaws-in-the-chrome-browser.html
  https://www.malwarebytes.com/blog/news/2026/03/google-patches-two-chrome-zero-days-under-active-attack-update-now
  https://www.theregister.com/2026/03/13/google_zeroday_chrome_update/
• CrackArmor: Critical AppArmor Flaws Enable Local Privilege Escalation To Root
  "Qualys TRU has discovered confused deputy vulnerabilities in AppArmor (named “CrackArmor”) that allow unprivileged users to bypass kernel protections, escalate to root, and break container isolation. The flaw has existed since 2017, and affected over 12.6 million systems globally. Immediate kernel patching is recommended to neutralize these vulnerabilities."
  https://blog.qualys.com/vulnerabilities-threat-research/2026/03/12/crackarmor-critical-apparmor-flaws-enable-local-privilege-escalation-to-root
  https://thehackernews.com/2026/03/nine-crackarmor-flaws-in-linux-apparmor.html
  https://hackread.com/crackarmor-vulnerability-apparmor-linux-systems/
• CISA Adds Two Known Exploited Vulnerabilities To Catalog
  "CISA has added two new vulnerabilities to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
  CVE-2026-3909 Google Skia Out-of-Bounds Write Vulnerability
  CVE-2026-3910 Google Chromium V8 Unspecified Vulnerability"
  https://www.cisa.gov/news-events/alerts/2026/03/13/cisa-adds-two-known-exploited-vulnerabilities-catalog
  https://securityaffairs.com/189411/security/u-s-cisa-adds-google-chrome-flaws-to-its-known-exploited-vulnerabilities-catalog.html
• Microsoft Releases Windows 11 OOB Hotpatch To Fix RRAS RCE Flaw
  "Microsoft has released an out-of-band (OOB) update to fix a security vulnerabilities affecting Windows 11 Enterprise devices that receive hotpatch updates instead of the regular Patch Tuesday cumulative updates. The KB5084597 hotpatch update was released yesterday to fix vulnerabilities in the Windows Routing and Remote Access Service (RRAS) management tool that could allow remote code execution when connecting to a malicious server. "Microsoft has identified a security issue in the Windows Routing and Remote Access Service (RRAS) management tool that could allow remote code execution when connecting to a malicious server," reads an advisory from Microsoft."
  https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-11-oob-hotpatch-to-fix-rras-rce-flaw/

Malware

• Poland's Nuclear Research Centre Targeted By Cyberattack
  "Poland’s National Centre for Nuclear Research (NCBJ) says hackers targeted its IT infrastructure, but the attack was detected and blocked before causing any impact. In a statement this week, the organization announced that its security systems and internal procedures, designed to detect threats early, prevented the compromise and allowed its IT staff to quickly secure targeted systems. “Thanks to the rapid and effective actions of security systems and procedures in the event of such an incident, as well as the quick response of our teams, the attack was thwarted, and the integrity of the systems was not compromised," the NCBJ says."
  https://www.bleepingcomputer.com/news/security/polands-nuclear-research-centre-targeted-by-cyberattack/
  https://securityaffairs.com/189399/security/hackers-targeted-polands-national-centre-for-nuclear-research.html
• Storm-2561 Uses SEO Poisoning To Distribute Fake VPN Clients For Credential Theft
  "In mid-January 2026, Microsoft Defender Experts identified a credential theft campaign that uses fake virtual private network (VPN) clients distributed through search engine optimization (SEO) poisoning. The campaign redirects users searching for legitimate enterprise software to malicious ZIP files on attacker-controlled websites to deploy digitally signed trojans that masquerade as trusted VPN clients while harvesting VPN credentials. Microsoft Threat Intelligence attributes this activity to the cybercriminal threat actor Storm-2561."
  https://www.microsoft.com/en-us/security/blog/2026/03/12/storm-2561-uses-seo-poisoning-to-distribute-fake-vpn-clients-for-credential-theft/
  https://www.bleepingcomputer.com/news/security/fake-enterprise-vpn-downloads-used-to-steal-company-credentials/
  https://thehackernews.com/2026/03/storm-2561-spreads-trojan-vpn-clients.html
  https://www.theregister.com/2026/03/13/vpn_clients_spoofed/
  https://securityaffairs.com/189426/cyber-crime/storm-2561-lures-victims-to-spoofed-vpn-sites-to-harvest-corporate-logins.html
• Attackers Impersonate Temu In ClickFix $Temu Airdrop Scam
  "A Temu spokesperson contacted us to say: “Temu has not issued any cryptocurrency, token, or digital asset—including any so-called “Temu Coin.” Any airdrop, wallet claim, or cryptocurrency offer purporting to be from Temu is fraudulent and has no connection to our company.” We’ve covered ClickFix campaigns before: the fake CAPTCHAs, the fake Windows updates, the trick of getting victims to paste malicious commands into their own machines. Now we’ve identified a campaign that uses the opening initial steps seen in ClickFix attacks, but what happens after is different enough to warrant a closer look."
  https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-temu-coin-airdrop-uses-clickfix-trick-to-install-stealthy-malware
• Investigating a New Click-Fix Variant
  "Atos Researchers identified a new variant of the popular ClickFix technique, where attackers convince the user to execute a malicious command on their own device through the Win + R shortcut. In this variation, a “net use” command is used to map a network drive from an external server, after which a “.cmd” batch file hosted on that drive is executed. Script downloads a ZIP archive, unpacks it, and executes the legitimate WorkFlowy application with modified, malicious logic hidden inside “.asar” archive. This acts as a C2 beacon and a dropper for the final malware payload."
  https://thehackernews.com/2026/03/investigating-new-click-fix-variant.html
• Glassworm Is Back: A New Wave Of Invisible Unicode Attacks Hits Hundreds Of Repositories
  "The invisible threat we've been tracking for nearly a year is back. While the PolinRider campaign has been making headlines for compromising hundreds of GitHub repositories, we are separately seeing a new wave of Glassworm activity hitting GitHub, npm, and VS Code. In October last year, we wrote about how hidden Unicode characters were being used to compromise GitHub repositories, tracing the technique back to a threat actor named Glassworm. This month, the same actor is back, and among the affected repositories are some notable names: a repo from Wasmer, Reworm, and opencode-bench from anomalyco, the organization behind OpenCode and SST."
  https://www.aikido.dev/blog/glassworm-returns-unicode-attack-github-npm-vscode
• Hijacked At The Source: A Trusted Marketing AppsFlyer’s SDK Distributes a Crypto Stealer
  "On 9 March 2026, following requests from our customers, Profero began investigating a possible compromise lead of the AppsFlyer SDK. AppsFlyer is a widely used mobile attribution and marketing analytics platform integrated into thousands of mobile applications, making it a high-value target in third-party supply chain attacks due to its deep SDK-level access to sensitive user and device data across client environments. During the investigation, Profero IRT confirmed the presence of obfuscated attacker-controlled JavaScript being delivered to users visiting websites and applications that loaded the AppsFlyer SDK, consistent with a browser-based cryptocurrency hijacker."
  https://profero.io/blog/hijacked-at-the-source-a-trusted-marketing-appsflyers-sdk-distributes-a-crypto-stealer
  https://www.bleepingcomputer.com/news/security/appsflyer-web-sdk-used-to-spread-crypto-stealer-javascript-code/
• 72 Malicious Open VSX Extensions Linked To GlassWorm Campaign Now Using Transitive Dependencies
  "GlassWorm has not re-emerged so much as evolved, and our latest analysis shows a significant escalation in how it spreads through Open VSX. Instead of requiring every malicious listing to embed the loader directly, the threat actor is now abusing extensionPack and extensionDependencies to turn initially standalone-looking extensions into transitive delivery vehicles in later updates, allowing a benign-appearing package to begin pulling a separate GlassWorm-linked extension only after trust has already been established."
  https://socket.dev/blog/open-vsx-transitive-glassworm-campaign
  https://thehackernews.com/2026/03/glassworm-supply-chain-attack-abuses-72.html

Breaches/Hacks/Leaks

• Starbucks Discloses Data Breach Affecting Hundreds Of Employees
  "Starbucks has disclosed a data breach affecting hundreds of employees after threat actors gained access to their Starbucks Partner Central accounts. As the world's largest coffeehouse chain, Starbucks has over 380,000 employees (also known as partners) and operates nearly 41,000 locations across 88 countries. In data breach notification letters filed with Maine's Attorney General and sent to affected employees on Tuesday, the company says that it discovered the incident on February 6."
  https://www.bleepingcomputer.com/news/security/starbucks-discloses-data-breach-affecting-hundreds-of-employees/
  https://www.securityweek.com/starbucks-data-breach-impacts-employees/
  https://securityaffairs.com/189438/security/starbucks-data-breach-impacts-889-employees.html
• Payload Ransomware Claims The Hack Of Royal Bahrain Hospital
  "The Payload Ransomware group claims to have hacked the Royal Bahrain Hospital (RBH) and stolen 110 GB of data. The ransomware gang added the healthcare facility to its Tor data leak site and published the images of allegedly hacked systems as proof of the attack. The group is threatening to release the stolen data if the ransom is not paid by March 23."
  https://securityaffairs.com/189467/cyber-crime/payload-ransomware-claims-the-hack-of-royal-bahrain-hospital.html

General News

• FBI Seeks Victims Of Steam Games Used To Spread Malware
  "The FBI is asking gamers who installed Steam titles containing malware to provide information as part of an ongoing investigation into eight malicious games uploaded to the gaming platform. In a notice published today by the FBI's Seattle Division, the agency said it is attempting to identify individuals who were affected after installing one of the malicious games on Steam between May 2024 and January 2026. "The FBI's Seattle Division is seeking to identify potential victims installing Steam games embedded with malware. The FBI believes the threat actor primarily targeted users between the timeframe of May 2024 and January 2026," reads the notice."
  https://www.bleepingcomputer.com/news/security/fbi-seeks-victims-of-steam-games-used-to-spread-malware/
• 45,000 Malicious IP Addresses Taken Down In International Cyber Operation
  "An international cybercrime operation targeting phishing, malware and ransomware has taken down more than 45,000 malicious IP addresses and servers. Law enforcement from 72 countries and territories took part in Operation Synergia III (18 July 2025 – 31 January 2026), coordinated by INTERPOL. The operation led to the arrest of 94 people, with another 110 individuals still under investigation. During the operation, INTERPOL transformed data into actionable intelligence, facilitated cross-border collaboration, and provided tactical operational assistance to member countries. Preliminary investigations led to a series of coordinated actions by national authorities, including raids on key locations and the disruption of malicious cyber activities. In total 212 electronic devices and servers were seized."
  https://www.interpol.int/News-and-Events/News/2026/45-000-malicious-IP-addresses-taken-down-in-international-cyber-operation
  https://www.bleepingcomputer.com/news/security/police-sinkholes-45-000-ip-addresses-in-cybercrime-crackdown/
  https://thehackernews.com/2026/03/interpol-dismantles-45000-malicious-ips.html
  https://www.infosecurity-magazine.com/news/interpol-operation-synergia3-94/
  https://hackread.com/interpol-operation-synergia-iii-malicious-ip-94-arrest/
  https://www.theregister.com/2026/03/13/interpol_operation_synergia/
  https://securityaffairs.com/189420/cyber-crime/interpol-operation-synergia-iii-leads-to-45000-malicious-ips-dismantled-and-94-arrests-worldwide.html
  When Liability Turns The CISO Into The Fall Guy
  "The era of the technical specialist is fading. In its place stands a legally exposed executive whose concern is no longer just a system breach but potential personal indictment. Twenty years ago, the cybersecurity remit was defined by network integrity and resilience. Today, it is increasingly defined by the fine print of directors and officers, or D&O, insurance policies and the exact wording of board minutes."
  https://www.bankinfosecurity.com/blogs/when-liability-turns-ciso-into-fall-guy-p-4065
• A Guy Who Wrote The Code Died In 2005. I Still Have To Secure It
  "If you walk the expo floors at any of the Black Hat or RSAC Conferences, the industry tells you the future is here. It's all quantum-resilient encryption, AI-driven security operations centers, and cloud-native architectures. Then, I go back to my day job. With over 20 years of experience spanning federal government, private manufacturing, and enterprise security, I've seen the industry from every angle. In my current dual roles —advising Fortune 100s as a field CISO and protecting a major US city as a sitting practitioner — I spend half my time discussing the "cutting edge," and the other half defending the "rusting edge.""
  https://www.darkreading.com/cyber-risk/a-guy-who-wrote-code-died-in-2005-i-still-must-secure-it
• Why Post-Quantum Cryptography Can't Wait
  "Somewhere in the world right now, a cybercriminal is trying to steal your organization's encrypted data. They can't read it yet, but the technology needed to do so is rapidly approaching. When ready, that technology will allow criminals to break even the most stringent traditional protections in a matter of minutes. This type of attack is part of a new "harvest-now, decrypt-later" approach, and it represents one of the most insidious threats facing organizations today. Unlike traditional cyberattacks, which cause immediate and visible damage, these attacks are invisible."
  https://www.darkreading.com/cyber-risk/why-post-quantum-cryptography-cant-wait
• Cyberattackers Don't Care About Good Causes
  "Nonprofits work to provide free or reduced cost aid, education, and essential resources throughout communities worldwide, but they often struggle to meet their own needs, particularly when it comes to cybersecurity. While they're busy helping others, who's there to help them address increasingly dangerous security gaps? Experts gathered for an exclusive Dark Reading roundtable agree that approaches need to shift. Better incident reporting, technologies, training, and attention are among the measures needed to face a rising threat, they said, yet are skeptical that nonprofits have the resources to build those defenses."
  https://www.darkreading.com/cyber-risk/cyberattackers-dont-care-about-good-causes
  https://www.darkreading.com/threat-intelligence/data-gap-why-nonprofit-cyber-incidents-go-underreported
• Fake PoCs, Misunderstood Risks Cause Cisco SD-WAN Chaos
  "Amid a stream of new vulnerabilities in Cisco's Catalyst SD-WAN Manager, some researchers are arguing that organizations have misplaced their focus, hyperfixating on one critical vulnerability with a lot of noise around it, but overlooking another, quieter bug that's just as serious. On Feb. 25, Cisco publicly disclosed half a dozen newfound bugs in its Software-Defined Wide Area Network (SD-WAN) management product. At least three have been exploited in the wild. One, CVE-2026-20127, in addition to earning the highest possible 10 out of 10 score in the Common Vulnerability Scoring System (CVSS), appears to have been exploited as a zero-day by one threat actor for at least three years."
  https://www.darkreading.com/vulnerabilities-threats/fake-pocs-risks-cisco-sd-wan
• Will AI Save Consumers From Smartphone-Based Phishing Attacks?
  "Phishing attacks continue to dominate as the most prevalent smartphone security issue, according to the latest findings from the Omdia 2025 Omdia Mobile Device Security Consumer Survey. The report highlights that 27% of consumers experienced phishing scams, making it the most common type of incident, followed closely by malware or viruses, at 26%. Despite best efforts, Omdia's testing reveals sophisticated phishing attacks bypass most on-device protection — making it even more prevalent that users stay vigilant."
  https://www.darkreading.com/mobile-security/will-ai-save-consumers-smartphone-phishing-attacks
• Six Supply Chain Attack Groups To Watch Out For In 2026
  "Supply chain attacks have been in the spotlight since at least 2015, when weaponized versions of Apple’s XCode development tool silently infected over 4,000 iOS apps and reached 128 million users. A decade later, however, the conversation has shifted from “Could this happen again?” to “Who was hit this week?”. So, what changed? The attack surface exploded. Even back in 2020, when the infamous SolarWinds attack occurred, organizations were already deeply interconnected, but the scale has grown dramatically since then. Today, the average enterprise depends on dozens of SaaS platforms, hundreds of open-source packages, and several managed service providers."
  https://www.group-ib.com/blog/supply-chain-attack-groups-2026/
• AI Coding Agents Keep Repeating Decade-Old Security Mistakes
  "Coding agents are now writing production features on real development teams, and a new report from DryRun Security shows that those agents introduce security vulnerabilities at a high rate across nearly every type of application they build. “AI coding agents can produce working software at incredible speed, but security isn’t part of their default thinking,” said James Wickett, CEO of DryRun Security. “In our usage and experience, AI coding agents often missed adding security components or created authentication logic flaws. These mistakes and gaps are exactly where attackers win.”"
  https://www.helpnetsecurity.com/2026/03/13/claude-code-openai-codex-google-gemini-ai-coding-agent-security/
• Iran-Linked Hackers Take Aim At US And Other Targets, Raising Risk Of Cyberattacks During War
  "Pro-Iranian hackers are targeting sites in the Middle East and starting to stretch into the United States during the war, raising the risk of American defense contractors, power stations and water plants being swept into a wave of digital chaos that could expand if Tehran’s allies join the fray. Hackers supporting Iran claimed responsibility for a significant cyberattack Wednesday against U.S. medical device company Stryker. Since the war began Feb. 28, they also have tried to penetrate cameras in Middle Eastern countries to improve Iran’s missile targeting. They have targeted data centers in the region, as well as industrial facilities in Israel, a school in Saudi Arabia and an airport in Kuwait."
  https://www.securityweek.com/iran-linked-hackers-take-aim-at-us-and-other-targets-raising-risk-of-cyberattacks-during-war/
• February 2026 APT Group Trends Report
  "Among the activities of APT groups in February 2026, attacks by APT28, Lotus Blossom, TA-RedAnt (APT37), UAT-8616, UNC3886, and UNC6201 were particularly prominent. Lotus Blossom exploited the Notepad++ supply chain infrastructure to inject malicious executables into legitimate update processes, combining DLL sideloading with multi-stage loaders to deploy the Chrysalis backdoor and Cobalt Strike Beacon."
  https://asec.ahnlab.com/en/92906/
• February 2026 Infostealer Trend Report
  "This report provides statistics, trends, and case information regarding the no. of malware distribution cases, distribution methods, and disguise techniques for Infostealer collected and analyzed during the month of February 2026. Below is a summary of the report’s original content."
  https://asec.ahnlab.com/en/92902/
• February 2026 Phishing Email Trends Report
  "This report provides statistics, trends, and case information regarding the distribution volume and attachment threats of phishing emails collected and analyzed during the month of February 2026. The report below contains some statistical data and cases included in the original content."
  https://asec.ahnlab.com/en/92907/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานช่องโหว่ CrackArmor ในระบบรักษาความปลอดภัย AppArmor บน Linux
โดยช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้โจมตีสามารถยกระดับสิทธิ์การเข้าถึงระบบไปสู่ระดับ Root ส่งผลให้ระบบมีความเสี่ยงถูกโจมตีและถูกยึดครองได้ [1]

1. รายละเอียดเหตุการณ์
   นักวิจัยด้านความปลอดภัยของบริษัท Qualys (Qualys Threat Research Unit – TRU) พบช่องโหว่ด้านความปลอดภัย 9 รายการ ในระบบควบคุมสิทธิ์ของระบบปฏิบัติการ Linux ซึ่งเป็นกลไกลด้านความปลอดภัยที่เรียกว่า AppArmor โดยช่องโหว่ดังกล่าวถูกตั้งชื่อว่า “CrackArmor” ช่องโหว่ดังกล่าวส่งผลกระทบต่อระบบปฏิบัติการ Linux ที่มีการใช้งาน AppArmor สำหรับควบคุมสิทธิ์การเข้าถึงของโปรแกรม เช่น Ubuntu, Debian และ SUSE Linux Enterprise ซึ่งอาจทำให้กลไกการจำกัดสิทธิ์ของระบบถูกหลีกเลี่ยง และก่อให้เกิดความเสี่ยงต่อความปลอดภัยของระบบได้

2. พฤติกรรมการโจมตี [2]
   ช่องโหว่ CrackArmor อาศัยเทคนิคที่เรียกว่า “Confused Deputy Attack” ซึ่งเป็นการหลอกให้ process ที่มีสิทธิ์สูงดำเนินการบางอย่างแทนผู้โจมตีที่มีสิทธิ์ต่ำ ลักษณะพฤติกรรมการโจมตี ได้แก่

• ผู้โจมตีที่มีสิทธิ์การเข้าถึงระบบในระดับผู้ใช้ (local user)
• ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องในการจัดการ AppArmor profiles
• ทำการแก้ไขหรือโหลดโปรไฟล์ผ่านไฟล์ pseudo ภายในระบบ
• อาจใช้เครื่องมือที่มีสิทธิ์สูง เช่น sudo, su หรือ process ที่มีสิทธิ์พิเศษ เพื่อให้ดำเนินการแทนผู้โจมตี
• เมื่อโจมตีสำเร็จ ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root หรือหลบเลี่ยงการควบคุมของ AppArmor

3. ผลกระทบ [3]

• ผู้โจมตีสามารถยกระดับสิทธิ์จากผู้ใช้ทั่วไปเป็น root
• หลบเลี่ยงการป้องกันของ AppArmor
• อาจทำให้เกิด Container Escape
• สามารถแก้ไขนโยบายความปลอดภัยของระบบ
• นำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาต หรือควบคุมระบบทั้งหมด

ในบางกรณีอาจทำให้เกิด Denial-of-Service (DoS) หรือการรั่วไหลของข้อมูลในหน่วยความจำ

4. แนวทางการป้องกันและลดความเสี่ยง

• อัปเดตแพตช์ความปลอดภัย โดยการติดตั้ง Linux kernel security updates จากผู้พัฒนาระบบปฏิบัติการทันที
• จำกัดสิทธิ์ผู้ใช้ภายในระบบ หลีกเลี่ยงการให้สิทธิ์ และบัญชีที่ไม่จำเป็น
• เฝ้าระวังพฤติกรรมที่เกี่ยวข้องกับการแก้ไข AppArmor profile

อ้างอิง
[1] https://dg.th/uv0lc38zwd
[2] https://dg.th/j5kd927lhg
[3] https://dg.th/sim9zatlky

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

ด่วน! Fortinet ประกาศอัปเดตแพตช์แก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยในผลิตภัณฑ์หลายรายการ ขอให้ผู้ใช้งานดำเนินการอัปเดตโดยทันที
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยที่ตรวจพบในผลิตภัณฑ์ของบริษัท Fortinet ซึ่งเป็นอุปกรณ์และซอฟต์แวร์ด้านความมั่นคงปลอดภัยเครือข่ายที่องค์กรจำนวนมากใช้งาน โดยบริษัทผู้พัฒนาได้เผยแพร่ประกาศด้านความมั่นคงปลอดภัยเกี่ยวกับช่องโหว่หลายรายการ

1. รายละเอียดช่องโหว่ [1]
   บริษัท Fortinet ได้เผยแพร่ประกาศด้านความมั่นคงปลอดภัยเกี่ยวกับช่องโหว่หลายรายการในผลิตภัณฑ์ของตน ซึ่งอาจนำไปสู่การสั่งให้ระบบประมวลผลคำสั่งที่เป็นอันตรายหรือการยกระดับสิทธิ์ในระบบได้ โดยช่องโหว่ที่สำคัญ ได้แก่
   CVE-2026-22627 (CVSS v3.1: 8.8) – ช่องโหว่ในการประมวลผล Link Layer Discovery Protocol (LLDP) ซึ่งอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนภายในเครือข่ายใกล้เคียงสามารถส่งแพ็กเก็ต LLDP ที่ถูกสร้างขึ้นเป็นพิเศษเพื่อสั่งให้ระบบประมวลผลโค้ดหรือคำสั่งที่ไม่ได้รับอนุญาตบนอุปกรณ์ได้ [2]
   CVE-2026-24017 (CVSS v3.1: 8.1) – ช่องโหว่ประเภท Authentication Rate-Limit Bypass ซึ่งอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถหลีกเลี่ยงกลไกการจำกัดจำนวนความพยายามในการยืนยันตัวตนผ่านคำร้องที่ถูกสร้างขึ้นเป็นพิเศษ [3]
   CVE-2025-54820 (CVSS v3.1: 8.1) – ช่องโหว่ประเภท Command Injection ซึ่งอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถสั่งให้ระบบประมวลผลคำสั่งที่ไม่ได้รับอนุญาตผ่านคำร้องที่ถูกสร้างขึ้นเป็นพิเศษ หากบริการที่เกี่ยวข้องถูกเปิดใช้งาน [4]
   CVE-2026-24018 (CVSS v3.1: 7.8) – ช่องโหว่ประเภท Privilege Escalation ซึ่งอาจเปิดโอกาสให้ผู้ใช้งานภายในระบบที่ไม่มีสิทธิ์ระดับสูง (local unprivileged user) สามารถยกระดับสิทธิ์ของตนเองเป็นระดับ root ได้ [5]

2. ลักษณะการโจมตี
   หากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สำเร็จ อาจส่งผลให้เกิดความเสี่ยงต่อระบบขององค์กร เช่น

• ผู้โจมตีสามารถสั่งให้ระบบประมวลผลคำสั่งหรือโค้ดที่ไม่ได้รับอนุญาตบนอุปกรณ์
• ผู้โจมตีสามารถหลีกเลี่ยงกลไกการจำกัดจำนวนความพยายามในการยืนยันตัวตน
• ผู้โจมตีสามารถสั่งรันคำสั่งบนระบบผ่านคำร้องที่ถูกสร้างขึ้นเป็นพิเศษ
• ผู้ใช้งานภายในระบบที่มีสิทธิ์ต่ำสามารถยกระดับสิทธิ์เป็นระดับ root

3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
   ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ของ Fortinet ดังต่อไปนี้
   CVE-2026-22627

• FortiSwitchAXFixed 1.0.0 – 1.0.1
  CVE-2026-24017
• FortiWeb 8.0.0 – 8.0.2
• FortiWeb 7.6.0 – 7.6.5
• FortiWeb 7.4.0 – 7.4.10
• FortiWeb 7.2.0 – 7.2.11
• FortiWeb 7.0.0 – 7.0.11
  CVE-2025-54820
• FortiManager 7.4.0 – 7.4.2
• FortiManager 7.2.0 – 7.2.10
• FortiManager 6.4 ทุกเวอร์ชัน
  CVE-2026-24018
• FortiClientLinux 7.4.0 – 7.4.4
• FortiClientLinux 7.2.2 – 7.2.12

4. แนวทางการแก้ไขสำหรับผู้ดูแลระบบ [6]
   ผู้ดูแลระบบควรดำเนินการดังต่อไปนี้
   4.1 อัปเดตผลิตภัณฑ์ Fortinet ที่ใช้งานให้เป็นเวอร์ชันล่าสุดที่ผู้ผลิตได้ออกแพตช์แก้ไขช่องโหว่แล้วโดยเร็วที่สุด
   4.2 ตรวจสอบและจำกัดสิทธิ์ของบัญชีผู้ใช้งานในระบบ โดยเฉพาะบัญชีที่มีสิทธิ์ระดับสูง
   4.3 จำกัดการเข้าถึงอุปกรณ์จากเครือข่ายภายนอก และอนุญาตเฉพาะแหล่งที่จำเป็นเท่านั้น
   4.4 เฝ้าระวังและตรวจสอบบันทึกเหตุการณ์ของระบบและอุปกรณ์เครือข่าย เพื่อค้นหาพฤติกรรมผิดปกติที่อาจเกี่ยวข้องกับการพยายามใช้ช่องโหว่

5. ข้อแนะนำเพิ่มเติม
   หลังจากมีการเผยแพร่รายละเอียดช่องโหว่และแพตช์แก้ไขแล้ว ผู้ไม่หวังดีอาจพยายามพัฒนาเครื่องมือเพื่อใช้โจมตีระบบที่ยังไม่ได้อัปเดต ดังนั้นผู้ดูแลระบบควรดำเนินการอัปเดตระบบโดยเร็วที่สุด รวมถึงตรวจสอบและเฝ้าระวังอุปกรณ์เครือข่ายขององค์กรอย่างสม่ำเสมอ
   ThaiCERT ขอแจ้งเตือนองค์กรที่ใช้งานผลิตภัณฑ์ของ Fortinet ให้เร่งดำเนินการตรวจสอบและอัปเดตแพตช์ทันที เพื่อป้องกันความเสี่ยงจากการถูกโจมตีและการเข้าถึงระบบโดยไม่ได้รับอนุญาต

อ้างอิง
[1] https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2026-024/
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-22627
[3] https://nvd.nist.gov/vuln/detail/CVE-2026-24017
[4] https://nvd.nist.gov/vuln/detail/CVE-2025-54820
[5] https://nvd.nist.gov/vuln/detail/CVE-2026-24018
[6] https://cybersecuritynews.com/fortinet-security-update-march/

ด่วน! Apple ออกอัปเดตแพตช์ความปลอดภัยสำหรับ iPhone และ iPad รุ่นเก่า เพื่อแก้ไขช่องโหว่ที่ถูกใช้โดย Coruna exploit kit ขอให้ผู้ใช้งานที่ได้รับผลกระทบดำเนินการอัปเดตโดยทันที
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยที่ตรวจพบในระบบปฏิบัติการ iOS และ iPadOS ซึ่งถูกใช้ในการโจมตีผ่านชุดเครื่องมือโจมตี (exploit kit) ที่เรียกว่า Coruna โดยบริษัท Apple ได้ออกแพตช์อัปเดตความปลอดภัยสำหรับอุปกรณ์ iPhone และ iPad รุ่นเก่าที่ไม่สามารถอัปเดตเป็นระบบปฏิบัติการเวอร์ชันล่าสุดได้
ขอให้ผู้ใช้งานอุปกรณ์ดังกล่าวดำเนินการตรวจสอบและอัปเดตแพตช์ความปลอดภัยโดยเร็ว เพื่อลดความเสี่ยงจากการถูกโจมตีหรือถูกเข้าควบคุมอุปกรณ์ผ่านช่องโหว่ของระบบปฏิบัติการ [1]

1. รายละเอียดช่องโหว่ [2]
   นักวิจัยด้านความมั่นคงปลอดภัยได้ตรวจพบชุดเครื่องมือโจมตีชื่อ Coruna exploit kit ซึ่งใช้ช่องโหว่หลายรายการในระบบปฏิบัติการ iOS เพื่อโจมตีอุปกรณ์ของผู้ใช้งาน โดยชุดเครื่องมือนี้สามารถเชื่อมโยงช่องโหว่หลายรายการเข้าด้วยกันเป็น exploit chains เพื่อหลบเลี่ยงกลไกป้องกันของระบบและยกระดับสิทธิ์ภายในอุปกรณ์ได้
   รายงานระบุว่า Coruna exploit kit ประกอบด้วยช่องโหว่รวมมากกว่า 20 รายการ ซึ่งถูกนำมาใช้ร่วมกันเป็น exploit chains เพื่อเพิ่มประสิทธิภาพในการโจมตีและหลบเลี่ยงมาตรการป้องกันของระบบปฏิบัติการ
   ชุดเครื่องมือดังกล่าวอาศัยห่วงโซ่ช่องโหว่ (Exploit chains) เพื่อเจาะระบบและยกระดับสิทธิ์ (Privilege Escalation) ไปสู่ระดับ Kernel ซึ่งอาจเปิดโอกาสให้ผู้โจมตีสามารถดำเนินการโค้ดอันตรายบนอุปกรณ์ได้ โดยมีช่องโหว่หลักที่ถูกใช้ในการโจมตี ได้แก่

• CVE-2023-41974 (CVSS v3.1: 7.8) : ช่องโหว่ประเภท Use-after-free ใน Kernel [3]
• CVE-2024-23222 (CVSS v3.1: 8.8) : ช่องโหว่ประเภท Type confusion ใน WebKit [4]
• CVE-2023-43000 (CVSS v3.1: 8.8) : ช่องโหว่ประเภท Use-after-free ใน WebKit [5]
• CVE-2023-43010 (CVSS v3.1: 8.8) : ช่องโหว่ที่เกี่ยวข้องกับการจัดการหน่วยความจำใน WebKit [6]
  Coruna exploit kit ถูกออกแบบมาเพื่อใช้ประโยชน์จากช่องโหว่ในองค์ประกอบสำคัญของระบบปฏิบัติการ iOS เช่น WebKit และ Kernel ซึ่งอาจทำให้ผู้โจมตีสามารถดำเนินการโค้ดอันตรายบนอุปกรณ์ของผู้ใช้งานได้

2. ลักษณะการโจมตี
   Coruna exploit kit ใช้เทคนิคการโจมตีหลายขั้นตอน โดยอาศัยช่องโหว่ในองค์ประกอบสำคัญของระบบปฏิบัติการ เช่น WebKit และ Kernel เพื่อหลบเลี่ยงกลไกป้องกันของ iOS และยกระดับสิทธิ์ของผู้โจมตีภายในอุปกรณ์
   เมื่อการโจมตีสำเร็จ ผู้โจมตีอาจสามารถดำเนินการได้ดังนี้

• สั่งให้ระบบประมวลผลโค้ดอันตรายบนอุปกรณ์ iPhone หรือ iPad
• เข้าถึงข้อมูลสำคัญภายในอุปกรณ์ เช่น ข้อความ รูปภาพ หรือข้อมูลบัญชีผู้ใช้งาน
• ขโมยข้อมูลสำคัญ เช่น token การเข้าสู่ระบบหรือข้อมูลทางการเงิน
• ใช้อุปกรณ์ที่ถูกควบคุมเป็นจุดเริ่มต้นในการเข้าถึงระบบหรือบัญชีอื่นของผู้ใช้งาน
  ทั้งนี้ การโจมตีอาจเกิดขึ้นได้จากการเข้าชมเว็บไซต์หรือเนื้อหาที่ถูกออกแบบมาเพื่อใช้ประโยชน์จากช่องโหว่ของระบบปฏิบัติการ

3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
   ช่องโหว่ดังกล่าวส่งผลกระทบต่อ อุปกรณ์ iPhone และ iPad รุ่นเก่า ที่ไม่สามารถอัปเดตเป็น iOS เวอร์ชันล่าสุดได้ โดยมีอุปกรณ์ที่ได้รับผลกระทบ ดังนี้
   3.1 iPhone

• iPhone 6s และ iPhone 6s Plus
• iPhone 7 และ iPhone 7 Plus
• iPhone SE (รุ่นที่ 1)
• iPhone 8 และ iPhone 8 Plus
• iPhone X
  3.2 iPad
• iPad Air 2
• iPad mini (รุ่นที่ 4)
• iPad (รุ่นที่ 5)
• iPad (รุ่นที่ 6)
• iPad Pro รุ่น 9.7 นิ้ว
• iPad Pro รุ่น 12.9 นิ้ว (รุ่นที่ 1)
  3.3 iPod
• iPod touch (รุ่นที่ 7)
  โดยบริษัทผู้พัฒนาได้ออกแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ได้แก่
• iOS 16.7.15 และ iPadOS 16.7.15
• iOS 15.8.7 และ iPadOS 15.8.7
  ซึ่งเป็นการอัปเดตความปลอดภัยสำหรับอุปกรณ์รุ่นเก่าที่ไม่ได้รับการอัปเดตเป็นระบบปฏิบัติการเวอร์ชันหลักล่าสุด [1]

4. แนวทางการแก้ไขสำหรับผู้ใช้งาน
   ผู้ใช้งานควรดำเนินการดังต่อไปนี้
   4.1 ตรวจสอบเวอร์ชันของระบบปฏิบัติการบนอุปกรณ์ iPhone หรือ iPad
   4.2 ดำเนินการอัปเดตระบบปฏิบัติการ iOS และ iPadOS เป็นเวอร์ชันล่าสุดที่ผู้พัฒนาได้ออกแพตช์แก้ไขช่องโหว่แล้ว ผ่านเมนู
   Settings → General → Software Update
   4.3 หลีกเลี่ยงการเข้าชมเว็บไซต์หรือเปิดลิงก์จากแหล่งที่ไม่น่าเชื่อถือ
   4.4 เปิดใช้งานมาตรการป้องกันเพิ่มเติมของระบบ เช่น Lockdown Mode สำหรับผู้ใช้งานที่มีความเสี่ยงสูงจากการถูกโจมตีแบบ targeted attack

5. ข้อแนะนำเพิ่มเติม
   ช่องโหว่ที่ถูกใช้โดย Coruna exploit kit แสดงให้เห็นว่าช่องโหว่ในระบบปฏิบัติการของอุปกรณ์พกพาอาจถูกนำมาใช้ร่วมกันเป็นชุดเพื่อหลบเลี่ยงกลไกป้องกันของระบบได้ ดังนั้นผู้ใช้งานควรดำเนินการอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ และหลีกเลี่ยงการใช้งานอุปกรณ์ที่ใช้เวอร์ชันของระบบปฏิบัติการที่หมดการสนับสนุนด้านความปลอดภัยแล้ว
   ThaiCERT ขอแนะนำให้ผู้ใช้งานอุปกรณ์ iPhone และ iPad รุ่นเก่าดำเนินการอัปเดตแพตช์ความปลอดภัยโดยทันที เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ของระบบปฏิบัติการ

อ้างอิง
[1] https://dg.th/3i1xlakjfc
[2] https://dg.th/ez4q03ctmk
[3] https://dg.th/7fhgce3pux
[4] https://dg.th/baehf56y9k
[5] https://dg.th/s0muxoc1gq
[6] https://dg.th/clo041rnut

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยที่ตรวจพบในซอฟต์แวร์ Veeam Backup & Replication ซึ่งเป็นระบบสำรองข้อมูลที่องค์กรจำนวนมากใช้สำหรับปกป้องและกู้คืนข้อมูลสำคัญ โดยบริษัทผู้พัฒนาได้ออกแพตช์เพื่อแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยหลายรายการในระบบดังกล่าว
ขอให้ผู้ดูแลระบบที่มีการใช้งานซอฟต์แวร์ดังกล่าวดำเนินการตรวจสอบระบบและอัปเดตแพตช์เป็นเวอร์ชันล่าสุดโดยเร็ว เพื่อป้องกันความเสี่ยงจากการถูกโจมตี การเข้าควบคุมระบบสำรองข้อมูล และการทำลายข้อมูลสำรองขององค์กร
ทั้งนี้ ระบบสำรองข้อมูลมักเป็นเป้าหมายสำคัญของกลุ่ม ransomware เนื่องจากการควบคุมหรือทำลายข้อมูลสำรองจะทำให้องค์กรไม่สามารถกู้คืนระบบได้หลังถูกโจมตี [1]

1. รายละเอียดช่องโหว่
   บริษัทผู้พัฒนาได้เปิดเผยและออกแพตช์แก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยหลายรายการใน Veeam Backup & Replication ซึ่งรวมถึงช่องโหว่หลายประเภทที่อาจนำไปสู่การประมวลผลโค้ดอันตราย ได้แก่

• CVE-2026-21666 (CVSS v3.1: 9.9) [2]
• CVE-2026-21667 (CVSS v3.1: 9.9) [3]
• CVE-2026-21669 (CVSS v3.1: 9.9) [4]
• CVE-2026-21708 (CVSS v3.1: 9.9) [5]
  โดยช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบ Veeam อยู่ก่อนแล้ว สามารถสั่งให้ระบบประมวลผลโค้ดที่เป็นอันตรายบน Backup Server ได้ ซึ่งส่งผลให้ระบบสำรองข้อมูลขององค์กรอาจถูกเข้าควบคุมได้

2. ลักษณะการโจมตี
   ช่องโหว่ดังกล่าว อาจถูกใช้เพื่อสั่งให้ระบบประมวลผลโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์สำรองข้อมูลได้ โดยผู้โจมตีอาจดำเนินการดังนี้

• สั่งการโค้ดอันตรายบน Backup Server
• ยกระดับสิทธิ์หรือเข้าถึงข้อมูลสำรองภายในระบบ
• ปรับแต่งหรือลบข้อมูลสำรองขององค์กร
• ใช้เซิร์ฟเวอร์สำรองข้อมูลเป็นฐานเพื่อโจมตีระบบสำรองข้อมูลอื่นๆ ในเครือข่าย

3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
   ช่องโหว่ดังกล่าวส่งผลกระทบต่อ

• Veeam Backup & Replication เวอร์ชัน 13 (ก่อน build 13.0.1.2067)
• Veeam Backup & Replication เวอร์ชัน 12 (ก่อน build 12.3.2.4465)
  โดยทางบริษัทผู้พัฒนาได้มีการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ได้แก่
• Veeam Backup & Replication เวอร์ชัน 12.3.2.4465 (สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ https://www.veeam.com/kb4831)
• Veeam Backup & Replication เวอร์ชัน 13.0.1.2067 (สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ https://www.veeam.com/kb4830)

4. แนวทางการแก้ไขสำหรับผู้ดูแลระบบ
   ผู้ดูแลระบบควรดำเนินการดังต่อไปนี้
   4.1 อัปเดต Veeam Backup & Replication เป็นเวอร์ชันล่าสุดที่ผู้ผลิตได้ออกแพตช์แก้ไขช่องโหว่แล้วโดยเร็วที่สุด
   4.2 ตรวจสอบและจำกัดสิทธิ์ของบัญชีผู้ใช้ในระบบ โดยเฉพาะบัญชีที่มีสิทธิ์ระดับสูงหรือเกี่ยวข้องกับการจัดการ Backup
   4.3 ตรวจสอบการเข้าถึง Backup Server และจำกัดการเข้าถึงเฉพาะผู้ดูแลระบบที่จำเป็น
   4.4 เฝ้าระวังและตรวจสอบ Log ของระบบ เพื่อค้นหาพฤติกรรมผิดปกติที่อาจเกี่ยวข้องกับการพยายามใช้ช่องโหว่

5. ข้อแนะนำเพิ่มเติม
   เนื่องจากหลังจากมีการเผยแพร่รายละเอียดช่องโหว่และแพตช์แล้ว ผู้ไม่หวังดีมักพยายามวิเคราะห์แพตช์เพื่อพัฒนาเครื่องมือโจมตีระบบที่ยังไม่ได้อัปเดต ผู้ดูแลระบบจึงควรดำเนินการอัปเดตแพตช์โดยเร็วที่สุด และตรวจสอบระบบสำรองข้อมูลอย่างสม่ำเสมอ

ThaiCERT ขอแจ้งเตือนองค์กรที่ใช้งาน Veeam Backup & Replication ให้เร่งดำเนินการอัปเดตแพตช์ทันที เนื่องจากระบบสำรองข้อมูลเป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยขององค์กร และมักถูกใช้เป็นเป้าหมายหลักในการโจมตีของกลุ่ม ransomware

อ้างอิง
[1] https://dg.th/rqsh59vj4i
[2] https://dg.th/ymlqp1dhc4
[3] https://dg.th/vu21diqxtj
[4] https://dg.th/knvd9e1lc8
[5] https://dg.th/a6d87i3jc0

Industrial Sector

• Stop Fixing OT Security With IT Thinking
  "In this Help Net Security interview, Ejona Preçi, Group CISO at Lindal Group, discusses the specific cybersecurity challenges in manufacturing environments. The conversation covers why standard IT security practices break down on shop floors, where PLCs and decade-old firmware were never designed to be networked. She explains how nation-state actors quietly settle into industrial networks, using stale accounts and compromised workstations to map environments without triggering alarms. She addresses patch management in OT, where production lines cannot simply be taken offline, and describes how security teams use compensating controls to manage risk without breaking operations."
  https://www.helpnetsecurity.com/2026/03/12/ejona-preci-lindal-group-ot-cybersecurity-manufacturing/

Vulnerabilities

• Veeam Warns Of Critical Flaws Exposing Backup Servers To RCE Attacks
  "Data protection company Veeam Software has patched multiple flaws in its Backup & Replication solution, including four critical remote code execution (RCE) vulnerabilities. VBR is enterprise data backup and recovery software that helps IT administrators to create copies of critical data for quick restoration following cyberattacks and hardware failures. Three RCE security flaws patched today (tracked as CVE-2026-21666, CVE-2026-21667, and CVE-2026-21669) allow low-privileged domain users to execute remote code on vulnerable backup servers in low-complexity attacks."
  https://www.bleepingcomputer.com/news/security/veeam-warns-of-critical-flaws-exposing-backup-servers-to-rce-attacks/
  https://www.veeam.com/kb4830
• A Major Security Flaw Could Affect 1 In 4 Android Phones - Here's How To Check Yours
  "A hardware security flaw found in many Android phones allowed white hat hackers to gain entry in under a minute, according to a new report. From there, they accessed sensitive user data, including messages and crypto wallet seed phrases. The flaw can be exploited by simply connecting an affected Android device to a laptop via a USB cable, according to a Wednesday report published by Donjon, the research division of crypto security hardware company Ledger. The phone's PIN could then be automatically brute-forced, its storage decrypted, and seed phrases from popular crypto wallets like Kraken Wallet and Phantom extracted."
  https://www.zdnet.com/article/security-flaw-affects-1-in-4-android-phones-how-to-check-yours/
  https://www.malwarebytes.com/blog/news/2026/03/this-android-vulnerability-can-break-your-lock-screen-in-under-60-seconds
• Splunk, Zoom Patch Severe Vulnerabilities
  "Splunk and Zoom this week announced security updates that resolve multiple critical- and high-severity vulnerabilities across their product portfolios. Zoom has addressed a critical-severity flaw in Workplace for Windows that could allow unauthenticated, remote attackers to elevate their privileges over the network. The issue impacts the Mail feature of the product and was addressed in Workplace for Windows version 6.6.0 and Workplace VDI Client for Windows versions 6.4.17, 6.5.15, and 6.6.10."
  https://www.securityweek.com/splunk-zoom-patch-severe-vulnerabilities/
• Cisco Patches High-Severity IOS XR Vulnerabilities
  "Cisco on Wednesday published its semiannual IOS XR software security advisory bundle, which includes three advisories detailing four high-severity vulnerabilities. The most severe of these issues are CVE-2026-20040 and CVE-2026-20046 (CVSS score of 8.8), two bugs that could be exploited to execute arbitrary commands as root or gain administrative control of a device. CVE-2026-20040 exists because user arguments passed to specific CLI commands are not sufficiently validated, allowing a low-privileged attacker to supply crafted commands at the prompt."
  https://www.securityweek.com/cisco-patches-high-severity-ios-xr-vulnerabilities-2/
  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-privesc-bF8D5U4W
• Apple Patches Older iPhones And iPads Against Coruna Exploits
  "Apple has released security updates to patch older iPhones and iPads against a set of vulnerabilities targeted in cyberespionage and crypto-theft attacks using the Coruna exploit kit. Some of these security flaws have already been addressed in earlier updates for newer iOS device models, starting in September 2023. "This fix associated with the Coruna exploit," Apple said in security advisories released on Wednesday. "This update brings that fix to devices that cannot update to the latest iOS version,""
  https://www.bleepingcomputer.com/news/apple/apple-patches-older-iphones-and-ipads-against-coruna-exploits/
  https://thehackernews.com/2026/03/apple-issues-security-updates-for-older.html
  https://www.malwarebytes.com/blog/news/2026/03/apple-patches-coruna-exploit-kit-flaws-for-older-ios-versions
  https://securityaffairs.com/189362/security/apple-issues-emergency-fixes-for-coruna-flaws-in-older-ios-versions.html
  https://www.securityweek.com/apple-updates-older-ios-versions-to-patch-coruna-exploits/
• Microsoft Authenticator Could Leak Login Codes—update Your App Now
  "A vulnerability in Microsoft Authenticator for both iOS and Android (CVE-2026-26123) could leak your one-time sign-in codes or authentication deep links to a malicious app on the same device. Deep links are predefined URIs (Uniform Resource Identifiers) that allow direct access to an activity in a web or mobile application when clicked. In simple terms, they are specifically constructed links used to open an app and complete actions like signing in."
  https://www.malwarebytes.com/blog/news/2026/03/microsoft-authenticator-could-leak-login-codes-update-your-app-now
• China’s CERT Warns OpenClaw Can Inflict Nasty Wounds
  "China’s National Computer Network Emergency Response Technical Team has warned locals that the OpenClaw agentic AI tool poses significant security risks. In a Tuesday post to its WeChat account, the CERT warned that OpenClaw has “extremely weak default security configuration” and must therefore be handled with extreme care. The CERT is worried that attackers can target the tool by embedding malicious instructions in web pages, and that poisoned plugins for the agentic tool can put users at risk. China’s cyber-advisors also point out that OpenClaw has already disclosed several severe vulnerabilities that can result in credential theft and therefore enable serious attacks."
  https://www.theregister.com/2026/03/12/china_cert_openclaw_security_warning/

Malware

• A Slopoly Start To AI-Enhanced Ransomware Attacks
  "In early 2026, IBM X-Force discovered a likely AI-generated novel malware which we are dubbing “Slopoly,” used during a ransomware attack. The operators are part of a group tracked as Hive0163, whose main objective is extortion through large-scale data exfiltration and ransomware. Evidence of AI adoption among high-profile cybercrime groups signals the start of a fundamental shift of dynamics within the threat landscape. Although still relatively unspectacular, AI-generated malware such as Slopoly shows how easily threat actors can weaponize AI to develop new malware frameworks in a fraction of the time it used to take."
  https://www.ibm.com/think/x-force/slopoly-start-ai-enhanced-ransomware-attacks
  https://www.bleepingcomputer.com/news/security/ai-generated-slopoly-malware-used-in-interlock-ransomware-attack/
  https://thehackernews.com/2026/03/hive0163-uses-ai-assisted-slopoly.html
• Cyber Android RAT: Inside The Latest MaaS Being Sold On Underground Forums
  "The market for Android malware-as-a-service has grown dramatically in recent years, lowering the technical barrier for cybercriminals who want to surveil, defraud, or steal from mobile device users. Where sophisticated attacks once required custom development, today’s threat landscape is shaped by polished, commercially packaged tools sold openly to anyone willing to pay. Certo’s research team has identified a new and particularly capable entry into this market: a full-featured Android Remote Access Trojan (RAT) advertised on clear-web hacking forums under the name Cyber Android RAT, backed by a command-and-control platform called Cyber Nebula Core."
  https://www.certosoftware.com/insights/cyber-android-rat-inside-the-latest-maas-being-sold-on-underground-forums/
  https://www.bankinfosecurity.com/sophisticated-surveillance-rat-marketed-for-global-buyers-a-31005
• Inside The Tehran-Linked 'Faketivist' Hacking Group Handala
  "A Iranian hacking group that took credit for hacking a medical device manufacturer and a payment processing device maker has a history of wiper attacks, hack-and-leak campaigns and advancing Tehran's agenda through psychological operations. Going by the moniker "Handala," the group appears to be run out of Iran's Ministry of Intelligence, according to cybersecurity threat intel sources who track it under a variety of names, including Banished Kitten, Storm-0842 and Void Manticore."
  https://www.bankinfosecurity.com/inside-tehran-linked-faketivist-hacking-group-handala-a-31001
• Payment Giant Verifone Disputes Iranian Hacking Group Hit
  "A self-proclaimed hacktivist group widely suspected of being a front for Iranian intelligence claimed Wednesday to have hacked New York City-based payment device maker Verifone, saying it disrupted the organization's Israeli office and stole data. Verifone disputed the assertion. "Verifone has found no evidence of any incident related to this claim and has no service disruption to our clients," it said in a statement. The hacking claim comes from Handala, a group that cybersecurity experts say appears to be run by Iran's Ministry of Intelligence, in part to execute pro-Tehran psychological operations."
  https://www.bankinfosecurity.com/payment-giant-verifone-disputes-iranian-hacking-group-hit-a-30995
• Iranian MOIS Actors & The Cyber Crime Connection
  "For years, Iranian intelligence services have operated through deniable criminal intermediaries in the physical world. A similar pattern is now becoming visible in cyber space, where state objectives are increasingly pursued through criminal tools, services, and operational models. Notably, this dynamic appears with growing frequency in activity associated with actors linked to the Ministry of Intelligence and Security (MOIS). For a long time, Iranian actors sought to mask state activity behind the appearance of ordinary cyber crime, most often by posing as ransomware operators. The trend we are seeing now goes beyond imitation. Rather than simply adopting criminal and hacktivist personas to complicate attribution, some Iranian actors appear to be associating with the cyber criminal ecosystem itself, leveraging its malware, infrastructure, and affiliate-style mechanisms."
  https://research.checkpoint.com/2026/iranian-mois-actors-the-cyber-crime-connection/
  https://www.darkreading.com/threat-intelligence/iran-mois-criminals-cyberattacks
• SecuritySnack - CloudFlare Anti-Security For Phishing
  "Service platforms that provide protection and content delivery, like CloudFlare, have become a go-to for many web service hosts—including some malicious actors. These platforms offer inherent benefits like obfuscation, anti-bot, and anti-scanner tools. While excellent for defending legitimate customers, these very features can inadvertently shield malicious sites from proactive identification by security professionals and automated scanning services. This creates a challenging dynamic in the industry where a service provider's role in protecting its customer base competes with the broader community's need for effective security scanning. This report details a recent Microsoft 365 credential harvesting campaign that leverages this dynamic to delay detection and risk profiling."
  https://dti.domaintools.com/securitysnacks/securitysnack-cloudflare-anti-security-for-phishing
  https://hackread.com/hackers-cloudflare-human-check-microsoft-365-phishing/
• PixRevolution: The Agent-Operated Android Trojan Hijacking Brazil’s PIX Payments In Real Time
  "In 2020, the Central Bank of Brazil implemented an instant payment system called PIX that significantly reformed the local payment landscape, with over 76% of the population utilizing it for immediate transfers via smartphones. The zLabs team has identified a novel Android banking trojan specifically targeting this system and implicitly targeting most Brazilian financial institutions. This new strain of malware operates stealthily within the device until the moment the victim initiates a PIX transfer. The user inputs the desired amount, enters the payee’s PIX key, and selects the send option. A familiar loading indicator, “Aguarde…” (please wait)," is displayed. Subsequently, the screen confirms the transfer's completion; however, the funds are not routed to the intended payee. Instead, they are diverted to a criminal entity that has been monitoring the victim's screen in real time."
  https://zimperium.com/blog/pixrevolution-the-agent-operated-android-trojan-hijacking-brazils-pix-payments-in-real-time
  https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html
  https://hackread.com/pixrevolution-malware-steals-brazil-pix-transfers/
  https://www.infosecurity-magazine.com/news/pixrevolution-malware-brazils-pix/
• China-Nexus Threat Actor Targets Persian Gulf Region With PlugX
  "On March 1, 2026, ThreatLabz observed new activity from a China-nexus threat actor targeting countries in the Persian Gulf region. The activity took place within the first 24 hours of the renewed conflict in the Middle East. The threat actor quickly weaponized the theme of the conflict, using an Arabic-language document lure depicting missile attacks for social engineering. The campaign used a multi-stage attack chain that ultimately deployed a PlugX backdoor variant. Based on the tools, techniques, and procedures (TTPs) observed, ThreatLabz attributes this activity to a China-nexus threat actor with high confidence, and assesses with medium confidence that it may be linked to Mustang Panda."
  https://www.zscaler.com/blogs/security-research/china-nexus-threat-actor-targets-persian-gulf-region-plugx
• How One Infostealer Infection Solved a Global Supply Chain Mystery And Unmasked DPRK Spies In U.S. Crypto
  "The global cybersecurity community has spent the past year unraveling the catastrophic Polyfill.io supply chain attack, an event that compromised over 100,000 websites globally. Until now, researchers could only attribute the attack to a shadowy Chinese entity named “Funnull” and its ties to transnational organized crime. The missing link was definitive attribution. That link has just been found. An exhaustive, forensic-level analysis of browsing history, credential dumps, and operational telemetry recovered from a compromised endpoint by Hudson Rock definitively links the Polyfill.io operator to state-sponsored cyber activities aligned with the Democratic People’s Republic of Korea (DPRK)."
  https://www.infostealers.com/article/how-one-infostealer-infection-solved-a-global-supply-chain-mystery-and-unmasked-dprk-spies-in-u-s-crypto/
  https://www.securityweek.com/polyfill-supply-chain-attack-impacting-100k-sites-linked-to-north-korea/
• VENON: The First Brazilian Banker RAT In Rust
  "In February 2026, the ZenoX threat intelligence team identified an unknown malware family during hunting activity, internally classified as VENON due to references in the code (spelled with an N). The sample was initially flagged for behavior consistent with Latin American banking trojans, particularly the use of banking overlays and active window monitoring, characteristics present in established families such as Grandoreiro and Mekotio. The fundamental difference emerged during static analysis: unlike all known families in the Latin American ecosystem, VENON does not contain a single line of Delphi code. The binary is compiled entirely in Rust, with 88 external dependencies identified from Crates."
  https://zenox.ai/en/venon-the-first-brazilian-banker-rat-in-rust/
  https://thehackernews.com/2026/03/rust-based-venon-malware-targets-33.html
• Rogue AI Agents Can Work Together To Hack Systems And Steal Secrets
  "AI agents work together to bypass security controls and stealthily steal sensitive data from within the enterprise systems in which they operate, according to tests carried out by frontier security lab Irregular. Although Irregular used some aggressive prompts that included urgent language to instruct agents to carry out assigned tasks, its experiments did not use any adversarial prompts that referenced security, hacking, or exploitation. All of the prompts and agents' responses are detailed in a Thursday report [PDF]."
  https://www.theregister.com/2026/03/12/rogue_ai_agents_worked_together/
  <https://irregular-public-docs.s3.eu-north-* **1.amazonaws.com/emergent_cyber_behavior_when_ai_agents_become_offensive_threat_actors.pdf>
• Insights: Increased Risk Of Wiper Attacks**
  "Unit 42 is tracking an increased risk of wiper attacks related to the conflict with Iran, including multiple related incidents impacting organizations in Israel and the US. For the latest intelligence on cyberattacks associated with this conflict, review our Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran. The primary vector for recent destructive operations from the Handala Hack group (aka Void Manticore, COBALT MYSTIQUE and Storm-1084/Storm-0842) reportedly involves the exploitation of identity through phishing and administrative access through Microsoft Intune. Handala Hack first emerged in late 2023. Despite initial hacktivist-aligned messaging, the group is currently assessed by the threat intelligence community to be a state-directed front for Iran’s Ministry of Intelligence and Security (MOIS)."
  https://unit42.paloaltonetworks.com/handala-hack-wiper-attacks/
• Suspected China-Based Espionage Operation Against Military Targets In Southeast Asia
  "We identified a cluster of malicious activity targeting Southeast Asian military organizations, suspected with moderate confidence to be operating out of China. We designate this cluster as CL-STA-1087, with STA representing our assessment that the activity is conducted by state-sponsored actors. We traced this activity back to at least 2020. The activity demonstrated strategic operational patience and a focus on highly targeted intelligence collection, rather than bulk data theft. The attackers behind this cluster actively searched for and collected highly specific files concerning military capabilities, organizational structures and collaborative efforts with Western armed forces."
  https://origin-unit42.paloaltonetworks.com/espionage-campaign-against-military-targets/

Breaches/Hacks/Leaks

• Canadian Retail Giant Loblaw Notifies Customers Of Data Breach
  "Loblaw Companies Limited (Loblaw), the largest food and pharmacy retailer in Canada, announced that hackers breached a portion of its IT network and accessed basic customer information. The retailer has a nationwide network of 2,500 stores (franchise supermarkets, pharmacies, banking kiosks, and apparel shops) and plans to expand with 70 new ones this year as part of a five-year plan to invest $10 billion by 2030. The company employs 220,000 people and has an annual revenue of $45 billion. Its best-known commercial banners and brands are Loblaws, Real Canadian Superstore, No Frills, Maxi, President’s Choice, PC Optimum, and Joe Fresh."
  https://www.bleepingcomputer.com/news/security/canadian-retail-giant-loblaw-notifies-customers-of-data-breach/
• England Hockey Investigating Ransomware Data Breach
  "England Hockey, the governing body for field hockey in England, is investigating a potential data breach after the AiLock ransomware gang listed it as a victim on its data leak site. The threat actor allegedly stole 129GB of data from the organization’s systems and announced that it will soon publish the files, unless a ransom is paid. England Hockey is aware of the threat actor’s claims and has prioritized an inquiry that involves both internal teams and external experts to determine what happened."
  https://www.bleepingcomputer.com/news/security/england-hockey-investigating-ransomware-data-breach/
• Telus Digital Confirms Breach After Hacker Claims 1 Petabyte Data Theft
  "Canadian business process outsourcing giant Telus Digital has confirmed it suffered a security incident after threat actors claimed to have stolen nearly 1 petabyte of data from the company in a multi-month breach. Telus Digital is the digital services and business process outsourcing (BPO) arm of Canadian telecommunications provider Telus, providing customer support, content moderation, AI data services, and other outsourced operational services to companies worldwide."
  https://www.bleepingcomputer.com/news/security/telus-digital-confirms-breach-after-hacker-claims-1-petabyte-data-theft/

General News

• Authorities Dismantle Global Malicious Proxy Service That Deployed Malware And Defrauded Thousands Of U.S. Persons, Businesses, And Financial Institutions Of Millions Of Dollars In Losses
  "Yesterday a court-authorized international law enforcement operation led by the U.S. Justice Department disrupted SocksEscort, a residential proxy network used to exploit thousands of residential routers worldwide and commit large-scale fraud. The U.S. government executed seizure warrants against a few dozen U.S.-registered internet domains allegedly engaged in the cyber-enabled criminal activity, U.S. Attorney Eric Grant announced. According to court documents, SocksEscort infected home and small business internet routers with malware. The malware allowed SocksEscort to direct internet traffic through the infected routers. SocksEscort sold this access to its customers."
  https://www.justice.gov/usao-edca/pr/authorities-dismantle-global-malicious-proxy-service-deployed-malware-and-defrauded
  https://www.bleepingcomputer.com/news/security/us-disrupts-socksescort-proxy-network-powered-by-linux-malware/
  https://therecord.media/us-europol-disrupt-socksescort-network
  https://cyberscoop.com/socksescort-proxy-network-botnet-takedown/
  https://hackread.com/feds-dismantle-socksescort-proxy-network-fraud/
  https://www.theregister.com/2026/03/12/socksescort_fraud_proxy_taken_down_fbi/
• US Charges Another Ransomware Negotiator Linked To BlackCat Attacks
  "The U.S. Department of Justice charged another former DigitalMint employee for his involvement in an insider scheme in which ransomware negotiators secretly partnered with the BlackCat (ALPHV) ransomware operation. Angelo Martino has been charged with one count of conspiracy to interfere with interstate commerce by extortion after surrendering to the U.S. Marshals on March 10."
  https://www.bleepingcomputer.com/news/security/us-charges-another-ransomware-negotiator-linked-to-blackcat-attacks/
• ENISA Technical Advisory For Secure Use Of Package Managers
  "This document focuses on how developers can securely use package managers as part of their software development life cycle. In particular, this document, outlines common risks involved in the use of third-party packages, presents secure practices for selecting, integrating, and monitoring packages and describes approaches for addressing vulnerabilities found in dependencies."
  https://www.enisa.europa.eu/publications/enisa-technical-advisory-for-secure-use-of-package-managers
  https://www.enisa.europa.eu/sites/default/files/2026-03/ENISA Technical Advisory - Package_Managers_Final.pdf
  https://securityaffairs.com/189333/security/enisa-technical-advisory-on-secure-package-managers-essential-devsecops-guidance.html
  https://www.helpnetsecurity.com/2026/03/12/enisa-package-manager-security-technical-advisory/
• Wireless Vulnerabilities Are Doubling Every Few Years
  "Wireless vulnerabilities are being disclosed at a rate that has no precedent in the fifteen-year history of systematic tracking. In 2025, researchers published 937 new wireless-related CVEs, an average of 2.5 per day, according to a threat report from Bastille Networks based on data from the NIST National Vulnerability Database. The wireless CVE category has expanded from 4 disclosures in 2010 to 932 in 2025, a 230× increase. When indexed against the same 2010 baseline, wireless disclosures have grown at more than 20 times the rate of total CVE disclosures across all technology categories. Wireless CVEs now account for nearly 2% of all annual disclosures."
  https://www.helpnetsecurity.com/2026/03/12/report-wireless-security-vulnerabilities-2026/
  The Human IOC: Why Security Professionals Struggle With Social Vetting
  "During my years working in Security Operations, we were very careful to vet anything that came our way. We vetted sources, intelligence, IOCs, TTPs (tactics, techniques, and procedures), and other information as well. The reason for this was straightforward. Leveraging anything that was not properly vetted could result in serious consequences."
  https://www.securityweek.com/the-human-ioc-why-security-professionals-struggle-with-social-vetting/
• US Sanctions North Korea IT Worker Networks In Laos, Vietnam
  "The U.S. Treasury Department sanctioned six people and two companies for their work supporting the North Korean IT worker scheme in multiple countries. The latest round of sanctions targeted Amnokgang Technology Development Company — a North Korean company that manages delegations of IT workers — and Quangvietdnbg International Services Company — a Vietnamese firm used by North Korean actors for currency conversion services. The Treasury Department said Quangvietdnbg converted about $2.5 million for Amnokgang between 2023 and 2025."
  https://therecord.media/us-sanctions-north-korea-it-worker-networks-laos-vietnam
• Navigating 2026’s Converged Threats: Insights From Flashpoint’s Global Threat Intelligence Report
  "The cybersecurity landscape has reached a point of total convergence, where the silos that once separated malware, identity, and infrastructure have collapsed into a single, high-velocity threat engine. Simultaneously, the threat landscape is shifting from human-led attacks to machine-speed operations as a result of agentic AI, which acts as a force multiplier for the modern adversary."
  https://flashpoint.io/blog/global-threat-intelligence-report-2026/
  https://www.helpnetsecurity.com/2026/03/12/agentic-attack-chains-infostealers-criminal-markets/
• Proactive Preparation And Hardening Against Destructive Attacks: 2026 Edition
  "Threat actors leverage destructive malware to destroy data, eliminate evidence of malicious activity, or manipulate systems in a way that renders them inoperable. Destructive cyberattacks can be a powerful means to achieve strategic or tactical objectives; however, the risk of reprisal is likely to limit the frequency of use to very select incidents. Destructive cyberattacks can include destructive malware, wipers, or modified ransomware."
  https://cloud.google.com/blog/topics/threat-intelligence/preparation-hardening-destructive-attacks
• Cyber Fallout From The Iran War: What To Have On Your Radar
  "The war in Iran was less than 24 hours old when it produced a historic first: the deliberate targeting of commercial data centers. On March 1st, Iranian drones hit three Amazon Web Services (AWS) facilities in the United Arab Emirates and Bahrain, disrupting core cloud infrastructure and knocking out finance apps and enterprise tools not only across the Gulf, but also far away from the region. The attacks showed that physical distance from a conflict zone is no guarantee of insulation from the impacts of kinetic warfare."
  https://www.welivesecurity.com/en/business-security/cyber-fallout-iran-war-what-have-radar/

อ้างอิง
Electronic Transactions Development Agency (ETDA)

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัย ที่พบในซอฟต์แวร์บริหารจัดการคลังสินค้าของ WellChoose ผู้ดูแลระบบที่มีการใช้งานซอฟต์แวร์ดังกล่าว ควรเร่งตรวจสอบระบบและดำเนินการอัปเดตแพตช์หรือมาตรการป้องกันโดยทันที เพื่อป้องกันการถูกโจมตี การเข้าถึงระบบโดยไม่ได้รับอนุญาต และการรั่วไหลของข้อมูลสำคัญในระบบ [1]

1.รายละเอียดช่องโหว่
พบช่องโหว่ Local File Inclusion (LFI) หมายเลข CVE-2026-3826 (CVSS v3.1: 9.8 ) ช่องโหว่นี้พบในฟังก์ชัน Include/Require ของภาษา PHP ในซอฟต์แวร์บริหารจัดการคลังสินค้า IFTOP (Inventory & Task Optimization Platform) ของ WellChoose ซึ่งอาจเปิดโอกาสให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการยืนยันตัวตนสามารถเข้าถึงไฟล์ภายในระบบ รันโค้ดอันตราย หรือเข้าถึงข้อมูลสำคัญภายในระบบคลังสินค้าได้ [2]

2.ลักษณะการโจมตี
เกิดจากการที่ระบบขาดการตรวจสอบชื่อไฟล์ (CWE-98) ทำให้ผู้โจมตีสามารถแทรกเส้นทางไฟล์ (Path Traversal) เพื่ออ่านไฟล์สำคัญในระบบ หรือหลอกให้เซิร์ฟเวอร์รันโค้ดอันตรายจากภายนอก (Remote Code Execution) ได้ [3]

3.ผลิตภัณฑ์ที่ได้รับผลกระทบ

• IFTOP (Inventory & Task Optimization Platform)

4.แนวทางการแก้ไขสำหรับผู้ดูแลระบบคลังสินค้ายี่ห้อ WellChoose [4]
4.1 อัปเดตแพตช์ด่วน ให้เป็นเวอร์ชันล่าสุดที่ได้รับการแก้ไขช่องโหว่แล้ว
4.2 ตรวจสอบไฟล์ php.ini และตั้งค่า allow_url_include = Off เพื่อลดความเสี่ยงในการถูกโจมตีจากระยะไกล
4.3 จำกัดสิทธิ์การเข้าถึงไฟล์ (File Permissions) ให้เว็บเซิร์ฟเวอร์เข้าถึงได้เฉพาะไดเรกทอรีที่จำเป็นเท่านั้น
4.4 แยกส่วนเซิร์ฟเวอร์ที่รันระบบ IFTOP ออกจากเครือข่ายอินเทอร์เน็ตสาธารณะ และเข้าถึงผ่าน VPN หรือระบบที่ต้องยืนยันตัวตนหลายชั้น (MFA) เท่านั้น

5. หากยังไม่สามารถอัปเดตได้ ควรดำเนินการดังนี้
   5.1 ใช้ Web Application Firewall (WAF) ในการตรวจจับและบล็อกการส่งค่า Parameter ที่มีลักษณะเป็น ../ หรือชื่อไฟล์ระบบ (เช่น /etc/passwd)
   5.2 จำกัดการเข้าถึงหน้า Management Interface ให้เฉพาะหมายเลข IP (Allow List) ของเจ้าหน้าที่ในคลังสินค้าเท่านั้น
   5.3 ตรวจสอบ Log ของเว็บเซิร์ฟเวอร์เพื่อหาความพยายามในการเรียกไฟล์ที่ผิดปกติอย่างสม่ำเสมอ

ThaiCERT เตือนอย่าปล่อยให้ช่องโหว่ในระบบคลังสินค้า กลายเป็นช่องทางให้ระบบหยุดชะงัก!

#CyberSecurity #CVE20263826 #IFTOP #WellChoose #WarehouseManagement #SmartLogistics #ThaiCERT #Alert #LFI #VulnerabilityManagement #ความปลอดภัยทางไซเบอร์ #ระบบคลังสินค้า

อ้างอิง
[1] https://radar.offseq.com/threat/cve-2026-3826-cwe-98-improper-control-of-filename--e68c5a28
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-3826
[3] https://www.twcert.org.tw/en/cp-139-10756-73f66-2.html
[4] https://cwe.mitre.org/data/definitions/98.html

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Android ในการดาวน์โหลดและติดตั้งแอปพลิเคชัน
เนื่องจากตรวจพบมัลแวร์สายพันธุ์ใหม่ชื่อ “BeatBanker” ซึ่งกำลังแพร่กระจายโดยปลอมแปลงเป็นแอปพลิเคชันอินเทอร์เน็ตผ่านดาวเทียม Starlink
มักจะมาในรูปแบบโฆษณาบนเว็บ, ลิงก์ใน SMS หรือกลุ่ม LINE ชวนให้กดโหลดไฟล์ชื่อแปลกๆ (ลงท้ายด้วย .apk) นอก Play Store[1]

1.รูปแบบและลักษณะการโจมตี (Attack Vector)
มัลแวร์ดังกล่าวมีลักษณะเป็นภัยคุกคามแบบผสมผสาน (Hybrid Threat) ดังนี้
1.1 มัลแวร์ทำการดักจับข้อมูลการเข้าสู่ระบบแอปพลิเคชันธนาคาร (Mobile Banking) รวมถึงดักอ่านรหัสผ่านใช้ครั้งเดียว (OTP) จากข้อความ SMS เพื่อนำไปกระทำการทุจริตธุรกรรมทางการเงิน
1.2 มัลแวร์สามารถสั่งการให้หน่วยประมวลผล (CPU) ทำงานอย่างหนักเพื่อขุดสกุลเงินดิจิทัล ส่งผลให้อุปกรณ์มีอุณหภูมิสูงขึ้น ประสิทธิภาพการทำงานลดลง และแบตเตอรี่เสื่อมสภาพก่อนกำหนด

2.สัญญาณเตือนว่าอุปกรณ์อาจถูกมัลแวร์โจมตี ได้แก่
2.1 อุปกรณ์มีอุณหภูมิสูงกว่าปกติอย่างต่อเนื่อง แม้ในขณะที่ไม่ได้ใช้งานหนัก
2.2 แบตเตอรี่มีอัตราการลดลงที่รวดเร็วผิดปกติ (Battery Drain)
2.3 ระบบปฏิบัติการทำงานล่าช้า มีอาการค้าง หรือแอปพลิเคชันปิดตัวลงเองบ่อยครั้ง
2.4 ปรากฏแอปพลิเคชันที่ไม่รู้จัก หรือมีหน้าต่าง Pop-up ขออนุมัติสิทธิ์ (Permissions) ซ้ำๆ โดยไม่มีสาเหตุ

3.มาตรการรับมือ (Incident Response)
3.1 ตัดการเชื่อมต่อเครือข่าย ปิดสัญญาณ Wi-Fi และข้อมูลมือถือทันที เพื่อระงับการรับส่งข้อมูลกับเครื่องแม่ข่ายของผู้ไม่หวังดี
3.2 ถอนการติดตั้งแอปพลิเคชัน ตรวจสอบและลบแอปพลิเคชันที่น่าสงสัย (หากลบไม่ได้ตามปกติ ให้ดำเนินการผ่านโหมดปลอดภัย หรือ Safe Mode)
3.3 ติดต่อธนาคารเจ้าของบัญชีทันทีเพื่อตรวจสอบความเคลื่อนไหว และพิจารณาอายัดบัญชีหรือเปลี่ยนรหัสผ่านหากจำเป็น
3.4 แจ้งผู้ดูแลระบบของหน่วยงาน(กรณีเครื่องใช้ในการปฏิบัติงาน) เพื่อป้องกันการแพร่กระจายเข้าสู่เครือข่ายหน่วยงาน

4.แนวทางปฏิบัติเพื่อการป้องกัน ดังนี้[2]
4.1 ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้ ดาวน์โหลดผ่าน Google Play Store เท่านั้น และหลีกเลี่ยงการติดตั้งไฟล์ประเภท .apk จากแหล่งภายนอกหรือลิงก์ส่งต่อ
4.2 ตรวจสอบสิทธิ์การเข้าถึง (Accessibility Service) ตรวจสอบที่เมนู Settings > Accessibility หากพบแอปพลิเคชันที่ไม่รู้จักได้รับสิทธิ์ ให้รีบทำการปิดสิทธิ์และถอนการติดตั้งทันที
4.3 เปิดใช้งาน Google Play Protect เพื่อให้ระบบทำการสแกนตรวจสอบแอปพลิเคชันที่เป็นอันตรายโดยอัตโนมัติ
4.4 หมั่นอัปเดตระบบปฏิบัติการและแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ด้านความปลอดภัย

ขอให้ผู้ใช้งานเช็คการใช้งานอุปกรณ์ และติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์

อ้างอิง
[1]https://dg.th/wp6fz4ned2
[2]https://dg.th/a4rdb0w28m

#ThaiCERT #CyberSecurity #แจ้งเตือนภัยไซเบอร์ #มัลแวร์อันตราย #BeatBanker #StarlinkApp #เตือนภัยแอปปลอม #AndroidSafety #CyberSafety

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับเทคนิครูปแบบใหม่ ชื่อว่า “Zombie ZIP” ซึ่งสามารถใช้ซ่อน payload ภายในไฟล์ ZIP ที่ถูกสร้างขึ้นเป็นพิเศษเพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย เช่น โปรแกรม Antivirus และระบบ Endpoint Detection and Response (EDR)

1. รายละเอียดของเทคนิค

นักวิจัยด้านความปลอดภัยจากบริษัท Bombadil Systems ได้เผยแพร่เทคนิครูปแบบใหม่ ชื่อว่า “Zombie ZIP” ซึ่งเป็นวิธีการดัดแปลงโครงสร้างของไฟล์ ZIP ให้ข้อมูลใน header ไม่สอดคล้องกับข้อมูลจริงภายในไฟล์ เช่น การกำหนดค่า Compression Method เป็น STORED (0) ซึ่งหมายถึงข้อมูลไม่ได้ถูกบีบอัด ทั้งที่ข้อมูลจริงถูกบีบอัดด้วยอัลกอริทึม DEFLATE ส่งผลให้ระบบ Antivirus หรือ Endpoint Detection and Response (EDR) ที่อาศัยข้อมูลใน header ในการประมวลผลไฟล์ ทำการสแกนข้อมูลแบบ raw bytes โดยไม่ทำการคลายการบีบอัดก่อน จึงอาจไม่สามารถตรวจพบ payload ที่ซ่อนอยู่ภายในไฟล์ได้ [1]

เทคนิคดังกล่าวได้รับการกำหนดรหัสช่องโหว่เป็น CVE-2026-0866 และมีการเผยแพร่บันทึกช่องโหว่โดย CERT Coordination Center ภายใต้หมายเลข VU#976247 [2]

ทั้งนี้ลักษณะของช่องโหว่ดังกล่าวมีความคล้ายคลึงกับช่องโหว่ CVE-2004-0935 (VU#968818) ซึ่งเกี่ยวข้องกับการใช้ไฟล์ ZIP ที่มีโครงสร้างผิดปกติเพื่อหลบเลี่ยงการตรวจจับของโปรแกรม Antivirus โดยอาศัยการที่ระบบตรวจสอบไฟล์เชื่อถือข้อมูล metadata ภายใน archive มากเกินไป ทำให้ไม่สามารถวิเคราะห์เนื้อหาที่แท้จริงภายในไฟล์ได้อย่างถูกต้อง [3]

2. กลไกการทำงานทางเทคนิคของ Zombie ZIP

การทดสอบโดยนักวิจัยบนแพลตฟอร์ม VirusTotal พบว่าไฟล์ที่สร้างด้วยเทคนิค Zombie ZIP สามารถหลบเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสได้ในอัตราสูง โดยไฟล์ตัวอย่างที่มี payload เดียวกัน เมื่อบรรจุอยู่ในไฟล์ ZIP ปกติ ไฟล์ดังกล่าวสามารถถูกตรวจจับได้โดยระบบตรวจจับมัลแวร์มากกว่า 50 ระบบ แต่เมื่อมีการดัดแปลง header ให้เป็น Zombie ZIP กลับถูกตรวจจับได้เพียง 1 ระบบ จากระบบตรวจจับมัลแวร์มากกว่า 50 ระบบ ทั้งนี้ เครื่องมือแตกไฟล์ทั่วไป เช่น 7-Zip หรือ WinRAR มักจะแสดงข้อผิดพลาดหรือไม่สามารถแตกไฟล์ได้อย่างสมบูรณ์ เนื่องจากค่า compression method และค่า CRC ไม่สอดคล้องกับข้อมูลจริงภายในไฟล์ [4]

3. โปรแกรม Antivirus ที่ได้รับผลกระทบจากเทคนิคของ Zombie ZIP

3.1 Microsoft (Microsoft Defender)
3.2 Avast
3.3 Bitdefender
3.4 ESET
3.5 Kaspersky
3.6 McAfee
3.7 Sophos
3.8 Trend Micro

4. แนวทางการแก้ไข

4.1 ตรวจสอบ compression method ใน ZIP header เทียบกับลักษณะข้อมูลจริง
4.2 เพิ่มกลไกตรวจจับความผิดปกติของโครงสร้างไฟล์บีบอัด
4.3 ใช้โหมด Deep Archive Inspection เพื่อตรวจจับมัลแวร์ที่ซ่อนอยู่ภายในไฟล์บีบอัด
4.5 ไม่พึ่งพา metadata ในไฟล์เพียงอย่างเดียว
4.6 เพิ่ม heuristic detection สำหรับ malformed archive
4.7 อัปเดต Antivirus และ EDR ให้เป็นเวอร์ชันล่าสุด และติดตามคำแนะนำจากผู้ผลิตผลิตภัณฑ์ด้านความปลอดภัย

5. คำแนะนำด้านความปลอดภัยเพิ่มเติม

5.1 ควรหลีกเลี่ยงการเปิดไฟล์บีบอัดจากแหล่งที่ไม่น่าเชื่อถือ
5.2 บล็อกหรือ quarantine ไฟล์ archive ที่มีโครงสร้างผิดปกติ
5.3 เฝ้าระวังไฟล์ที่แตกแล้วเกิดข้อผิดพลาด เช่น unsupported method
5.4 ตรวจสอบพฤติกรรมของโปรแกรมที่พยายามคลายข้อมูล archive แบบ programmatic
5.5 ใช้ sandbox หรือระบบวิเคราะห์มัลแวร์ก่อนเปิดไฟล์

6. แหล่งอ้างอิง

[1] https://dg.th/20agl4ntwq
[2] https://dg.th/0yopcv84xb
[3] https://dg.th/5vfbj3ypwm
[4] https://dg.th/k9z3muvrg7

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ พบรายงานเกี่ยวกับแคมเปญการโจมตีที่มุ่งเป้าไปที่อุปกรณ์ FortiGate Next-Generation Firewall (NGFW) เพื่อใช้เป็นช่องทางในการลักลอบเข้าสู่เครือข่ายภายในขององค์กร [1]
จากรายงานของ SentinelOne ระบุว่า ภาคส่วนที่ตกเป็นเป้าหมายหลักในขณะนี้ ได้แก่ หน่วยงานด้านสาธารณสุข หน่วยงานภาครัฐ และผู้ให้บริการจัดการระบบ (Managed Service Providers - MSPs) [2]

1. ลักษณะและพฤติการณ์ของการโจมตี
   กลุ่มผู้โจมตีอาศัยช่องโหว่ด้านความปลอดภัยระดับวิกฤตที่เพิ่งได้รับการเปิดเผย ตลอดจนการใช้ข้อมูลบัญชีที่คาดเดาง่าย เพื่อทำการเจาะเข้าสู่อุปกรณ์ FortiGate โดยช่องโหว่ที่เกี่ยวข้องมีดังนี้:
   • CVE-2025-59718 (CVSS V3.1:9.8) [3]
   • CVE-2025-59719 (CVSS V3.1:9.8) [4] [5]
   • CVE-2026-24858 (CVSS V3.1:9.8) [6] [7]
   เป้าหมายสำคัญคือการดึงไฟล์การกำหนดค่า (Configuration files) ซึ่งมีการจัดเก็บข้อมูลบัญชีบริการ (Service Account) ที่ใช้สำหรับเชื่อมต่อกับระบบ Active Directory (AD) และ Lightweight Directory Access Protocol (LDAP)
   เมื่อผู้โจมตีได้รับข้อมูลดังกล่าว จะสามารถดำเนินการเข้าถึงสิทธิต่างๆ ได้ดังนี้:
   1.1 สร้าง บัญชีผู้ดูแลระบบภายใน (Local Administrator) ใหม่ โดยใช้ชื่อหลอกตาเช่น "support" เพื่อใช้เป็นช่องทางเข้าออกระบบได้อย่างอิสระโดยไม่มีข้อจำกัด
   1.2 แฝงตัว ในลักษณะนายหน้าจัดหาช่องทางเข้าถึง (Initial Access Broker - IAB) เพื่อรักษาสถานะในระบบและนำสิทธิ์การเข้าถึงนี้ไปแสวงหาผลประโยชน์ทางการเงิน
   1.3 ติดตั้ง เครื่องมือควบคุมระยะไกล (เช่น Pulseway หรือ MeshAgent) เพื่อขโมยฐานข้อมูลสำคัญของระบบ (NTDS.dit) และ Registry Hive ส่งออกไปยังเซิร์ฟเวอร์ภายนอก

2. แนวทางปฏิบัติเพื่อรับมือและป้องกัน
   2.1 ตรวจสอบการตั้งค่าของอุปกรณ์ FortiGate ในระบบอย่างละเอียด โดยเฉพาะบัญชีผู้ดูแลระบบที่อาจถูกสร้างขึ้นมาใหม่โดยไม่ทราบสาเหตุ และนโยบายไฟร์วอลล์ที่มีการอนุญาตสิทธิ์ข้ามโซนเครือข่ายที่ผิดปกติ
   2.2 อัปเดตระบบปฏิบัติการ เฟิร์มแวร์ และแพตช์ความปลอดภัยของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดโดยทันที เพื่อ ปิดกั้น ช่องโหว่ที่อาจถูกนำมาใช้เป็นช่องทางในการโจมตี
   2.3 เฝ้าระวังการบันทึกเหตุการณ์ (Logs) อย่างใกล้ชิด ทั้งการเข้าใช้งานระบบ AD การสแกนเครือข่าย การเชื่อมต่อไปยังไอพีภายนอกที่น่าสงสัย (เช่น ผ่านพอร์ต 443) รวมถึงการติดตั้งซอฟต์แวร์ Remote Access ที่ไม่ได้รับอนุญาต
   2.4 เปลี่ยนรหัสผ่านของบัญชีบริการ (Service Account) ทั้งหมดทันที หากพบว่าอุปกรณ์ในเครือข่ายเคยมีช่องโหว่ หรือมีข้อบ่งชี้ว่าไฟล์การกำหนดค่าอาจถูกนำออกไปจากระบบ
   2.5 จำกัดการเข้าถึงหน้าการจัดการ (Management Interface) ของอุปกรณ์ โดย ปิด การเข้าถึงจากอินเทอร์เน็ตสาธารณะ (WAN) และ อนุญาต เฉพาะ IP Address ของผู้ดูแลระบบที่เชื่อถือได้เท่านั้น (Workaround เบื้องต้น)
   2.6 ระงับการใช้งานฟีเจอร์ที่เกี่ยวข้องกับช่องโหว่เป็นการชั่วคราว (Workaround) เช่น การ ปิด ระบบ FortiCloud SSO ในกรณีที่องค์กรยังไม่สามารถดำเนินการอัปเดตแพตช์ความปลอดภัยได้ทันที เพื่อ ลด ความเสี่ยงในการถูกลักลอบเข้าถึง
   อุปกรณ์ไฟร์วอลล์เปรียบเสมือนปราการด่านแรกของเครือข่าย การบริหารจัดการความเสี่ยงและอุดช่องโหว่อย่างทันท่วงที จะช่วยป้องกันความเสียหายที่อาจส่งผลกระทบในระดับโครงสร้างขององค์กรได้

แหล่งอ้างอิง
[1] https://dg.th/uvjklgarb1
[2] https://dg.th/0bi79ackmv
[3] https://dg.th/skdrzw9mav
[4] https://dg.th/vnecb1rtha
[5] https://dg.th/drpaf341u8
[6] https://dg.th/jqzaf06vbg
[7] https://dg.th/w2cxrbvk68

#CyberSecurity #FortiGate #InfoSec #CyberThreat #NetworkSecurity #Vulnerability #CyberOperations #การรักษาความมั่นคงปลอดภัยทางไซเบอร์

เมื่อวันที่ 11 มีนาคม 2026 Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ใหม่ 1 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) จากหลักฐานที่พบว่ามีการโจมตีใช้งานจริงแล้ว ดังนี้

• CVE-2025-68613 n8n Improper Control of Dynamically-Managed Code Resources Vulnerability

ทาง CISA จะปรับปรุงและเพิ่มช่องโหว่ใหม่เข้าสู่แคตตาล็อก KEV อย่างต่อเนื่อง เพื่อให้ครอบคลุมความเสี่ยงที่ตรวจพบจริงในปัจจุบันและอนาคต

อ้างอิง
https://www.cisa.gov/news-events/alerts/2026/03/11/cisa-adds-one-known-exploited-vulnerability-catalog
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Industrial Sector

• Apeman Cameras
  "Successful exploitation of these vulnerabilities could allow an attacker to take control of the device or view camera feeds."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-01
• Lantronix EDS3000PS And EDS5000
  "Successful exploitation of these vulnerabilities could allow an attacker to bypass authentication and execute code with root-level privileges."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-02
• Honeywell IQ4x BMS Controller
  "Successful exploitation of this vulnerability could allow an unauthorized attacker to access controller management settings, control components, disclose information, or cause a denial-of-service condition."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-03
• ICS Patch Tuesday: Vulnerabilities Fixed By Siemens, Schneider, Moxa, Mitsubishi Electric
  "Industrial giants Siemens, Schneider Electric, Mitsubishi Electric, and Moxa have published new Patch Tuesday advisories for vulnerabilities found recently in their ICS products. Siemens and Schneider Electric have each published six new advisories. Each of Schneider’s new advisories addresses one vulnerability. The company has informed customers about high-severity issues in EcoStruxure IT Data Center Expert (hardcoded credentials), EcoStruxure Power Monitoring Expert and Power Operation (local arbitrary code execution), and EcoStruxure Automation Expert (command execution and full system compromise)."
  https://www.securityweek.com/ics-patch-tuesday-vulnerabilities-fixed-by-siemens-schneider-moxa-mitsubishi-electric/
• Ceragon Siklu MultiHaul And EtherHaul Series
  "Successful exploitation of this vulnerability could result in arbitrary file upload to the target equipment."
  https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-04

New Tooling

• Cloud-Audit: Fast, Open-Source AWS Security Scanner
  "Running AWS security audits without a dedicated security team typically means choosing between enterprise platforms with per-check billing and generic open-source scanners that produce findings with no remediation guidance. Cloud-audit, a Python CLI tool published on GitHub by Mariusz Gebala, takes a narrower scope and attaches a fix to every finding it generates."
  https://www.helpnetsecurity.com/2026/03/11/cloud-audit-open-source-aws-security-scanner/
  https://github.com/gebalamariusz/cloud-audit

Vulnerabilities

• Fortinet, Ivanti, Intel Patch High-Severity Vulnerabilities
  "Fortinet, Ivanti, and Intel on Tuesday rolled out security fixes for dozens of vulnerabilities, including high-severity bugs that could be exploited for arbitrary code execution, privilege escalation, or security protection bypasses. Fortinet announced patches for 22 security defects across its products, including high-severity flaws in FortiWeb, FortiSwitchAXFixed, FortiManager, and FortiClientLinux. The FortiWeb, FortiSwitchAXFixed, and FortiManager issues could be exploited by remote, unauthenticated attackers to bypass the authentication rate limit or execute unauthorized code or commands."
  https://www.securityweek.com/fortinet-ivanti-intel-patch-high-severity-vulnerabilities/
• Zero Click Unauthenticated RCE In n8n: A Contact Form That Executes Shell Commands
  "Pillar Research team found a zero-click, unauthenticated RCE in n8n. Anyone who can reach a public multi-step form with an HTML rendering can execute shell commands on the server. We worked with the n8n team to fix it. If you use n8n Cloud, you're already protected. If you're self-hosting, update to 2.10.1 / 2.9.3 / 1.123.22 now. This is CVE-2026-27493: an unauthenticated, zero-click RCE affecting every n8n instance that exposes a multi-step form with an HTML rendering step that displays user input back to the submitter. We scanned for publicly accessible n8n form endpoints and identified over 50,000 potentially vulnerable forms exposed to the internet. The attack requires nothing more than a browser."
  https://www.pillar.security/blog/zero-click-unauthenticated-rce-in-n8n-a-contact-form-that-executes-shell-commands
  https://thehackernews.com/2026/03/critical-n8n-flaws-allow-remote-code.html
• CISA Adds One Known Exploited Vulnerability To Catalog
  "CISA has added one new vulnerability to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.
  CVE-2025-68613 n8n Improper Control of Dynamically-Managed Code Resources Vulnerability"
  https://www.cisa.gov/news-events/alerts/2026/03/11/cisa-adds-one-known-exploited-vulnerability-catalog
  https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-n8n-rce-flaw-exploited-in-attacks/
• 400,000 WordPress Sites Affected By Unauthenticated SQL Injection Vulnerability In Ally WordPress Plugin
  "On February 4th, 2026, we received a submission for an SQL Injection vulnerability in Ally, a WordPress plugin estimated to have more than 400,000 active installations. This vulnerability can be leveraged to extract sensitive data from the database, such as password hashes. Props to Drew Webber (mcdruid) who discovered and responsibly reported this vulnerability through the Wordfence Bug Bounty Program. This vulnerability was reported to our program just five days after it was introduced. This researcher earned a bounty of $800.00 for this discovery. Our mission is to secure WordPress through defense in depth, which is why we are investing in quality vulnerability research and collaborating with researchers of this caliber through our Bug Bounty Program."
  https://www.wordfence.com/blog/2026/03/400000-wordpress-sites-affected-by-unauthenticated-sql-injection-vulnerability-in-ally-wordpress-plugin/
  https://www.bleepingcomputer.com/news/security/sqli-flaw-in-elementor-ally-plugin-impacts-250k-plus-wordpress-sites/
• DirectX, OpenFOAM, Libbiosig Vulnerabilities
  "Cisco Talos’ Vulnerability Discovery & Research team recently disclosed vulnerabilities in the BioSig Project Libbiosig library and OpenCFD OpenFOAM, as well as an unpatched vulnerability in Microsoft DirectX. The vulnerabilities mentioned in this blog post have been patched by their respective vendors, all in adherence to Cisco’s third-party vulnerability disclosure policy, apart from the DirectX vulnerability."
  https://blog.talosintelligence.com/directx-openfoam-libbiosig-vulnerabilities/

Malware

• The Return Of PhantomRaven: Detecting Three New Waves Of Npm Supply Chain Attacks
  "Endor Labs identified 88 new malicious npm packages belonging to three new waves (Wave 2, 3, and 4) of the PhantomRaven campaign distributed between November 2025 and February 2026. At the time of writing, the campaign remains active: 81 of the 88 packages are still available on npm, and two of the three new command-and-control servers continue to operate. PhantomRaven is a software supply chain attack that uses Remote Dynamic Dependencies (RDD) to hide credential-stealing malware in non-registry dependencies that bypass standard security scanning. The first wave affecting 126+ packages with over 86,000 downloads, was first described by Koi Security in October 2025."
  https://www.endorlabs.com/learn/return-of-phantomraven
  https://www.bleepingcomputer.com/news/security/new-phantomraven-npm-attack-wave-steals-dev-data-via-88-packages/
• Weaponizing Telegram Bots: How Threat Actors Exfiltrate Credentials
  "Telegram is a free, online instant messenger platform that is also commonly abused by threat actors for a wide range of malicious activities. One of Telegram’s notable features is its extensive collection of web APIs, one of which is used to interact with automated bot accounts. Notably, Telegram bot accounts are still capable of posting messages in chats and uploading arbitrary files such as screenshots or archives of stolen information. As such, Telegram bots are often used by threat actors as a method of data exfiltration through a technically legitimate service."
  https://cofense.com/blog/weaponizing-telegram-bots-how-threat-actors-exfiltrate-credentials
• Inside p1bot: A Vishing Platform Weaponizing ElevenLabs
  "The threat intelligence community has been sounding the alarm on AI-powered social engineering for over a year. OpenAI's quarterly disruption reports have documented threat actors using LLMs to craft phishing lures, generate fake resumes, and scale influence operations. Google's Mandiant team published research in 2024 showing how AI-powered voice spoofing has been incorporated into red team operations, demonstrating just how convincing synthetic voices have become. Academic researchers have even built proof-of-concept vishing bots using off-the-shelf APIs (OpenAI's GPT for conversation, ElevenLabs for voice synthesis, Twilio for telephony) and demonstrated them against human subjects."
  https://www.miragesecurity.ai/blog/inside-p1bot-vishing-platform-weaponizing-elevenlabs
  https://www.helpnetsecurity.com/2026/03/11/researchers-uncover-ai-powered-vishing-platform/
• Phishers Hide Scam Links With IPv6 Trick In “free Toothbrush” Emails
  "A recurring lure in phishing emails impersonating United Healthcare is the promise of a free Oral-B toothbrush. But the interesting part isn’t the toothbrush. It’s the link. Recently we found that these phishers have moved from using Microsoft Azure Blob Storage (links looking like this: https://{string}.blob.core.windows.net/{same string}/1.html to links obfuscated by using an IPv6-mapped IPv4 address to hide the IP in a way that looks confusing but is still perfectly valid and routable. For example: http://[::ffff:5111:8e14]/"
  https://www.malwarebytes.com/blog/scams/2026/03/phishers-hide-scam-links-with-ipv6-trick-in-free-toothbrush-emails
• Iran Conflict Drives Heightened Espionage Activity Against Middle East Targets
  "On 28 February 2026, the US and Israel conducted strikes targeting assets inside Iran, in a campaign the US called Operation Epic Fury. According to public sourcing, the attacks targeted Iranian missiles and air defenses, other military infrastructure, and Iranian leadership. Iran responded with retaliatory missile and drone strikes in the region, targeting US embassies and military installations. As the war continues into its second week, several Iranian hacktivist groups and personas have claimed responsibility for various disruptive operations. Iranian espionage-focused threat groups remain somewhat active despite the Iranian government’s shutdown of the internet immediately following the initial US and Israeli attacks."
  https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity-against-middle-east-targets
• “AgenticBlabbering”: How AI Browsers’ Verbose Reasoning Fuels The Ultimate Scamming Machine
  "AI Browsers are not just browsing for us, they are browsing as us, with full access to our personal private data. And while they do it, they also talk way too much. This is AgenticBlabbering: a stream of internal reasoning, tool calls, screenshots, and security hesitations that reveals how the browser decides what is “safe enough” to click. By sniffing Comet’s agent traffic, we got a first-of-its-kind view into how an AI Browser actually thinks, and how much of that thinking leaks out. Then we put the black hat on and weaponized it. We fed that blabbering into a GAN-style loop that auto-generates scam flows, critiques and reshapes them using the agent’s own reactions, and iterates until the guardrails go quiet. We expected it to take hours."
  https://guard.io/labs/agenticblabbering---how-ai-browsers-verbose-reasoning-fuels-the-ultimate-scamming-machine
  https://thehackernews.com/2026/03/researchers-trick-perplexitys-comet-ai.html
• 5 Malicious Rust Crates Posed As Time Utilities To Exfiltrate .env Files
  "Socket’s Threat Research Team uncovered a coordinated supply chain campaign in the Rust ecosystem involving five malicious crates: chrono_anchor, dnp3times, time_calibrator, time_calibrators, and time-sync. RustSec and the GitHub Advisory Database document that crates.io security yanked four of these packages shortly after publication. The fifth package, chrono_anchor, shows the threat actor is adapting. It introduced minor obfuscation and operational changes that reduced obvious indicators and helped it remain listed on crates.io until we identified and reported it."
  https://socket.dev/blog/5-malicious-rust-crates-posed-as-time-utilities-to-exfiltrate-env-files
  https://thehackernews.com/2026/03/five-malicious-rust-crates-and-ai-bot.html

Breaches/Hacks/Leaks

• Medtech Giant Stryker Offline After Iran-Linked Wiper Malware Attack
  "Leading medical technology company Stryker has been hit by a wiper malware attack claimed by Handala, an Iranian-linked and pro-Palestinian hacktivist group. The medtech giant manufactures a range of products, including surgical and neurotechnology equipment. With over 53,000 employees, Stryker is a Fortune 500 company that reported global sales of $22.6 billion in 2024. Handala says they stole 50 terabytes of data before wiping tens of thousands of systems and servers across the company's network, forcing Stryker to shut down in "an unprecedented blow.""
  https://www.bleepingcomputer.com/news/security/medtech-giant-stryker-offline-after-iran-linked-wiper-malware-attack/
  https://therecord.media/stryker-cyberattack-iran-hackers
  https://www.bankinfosecurity.com/medtech-firm-stryker-disrupted-by-pro-iran-hackers-a-30980
  https://hackread.com/iran-handala-hackers-verifone-stryker-hacks/
  https://www.securityweek.com/medtech-giant-stryker-crippled-by-iran-linked-hacker-attack/
  https://securityaffairs.com/189304/hacktivism/pro-palestinian-hacktivist-group-handala-targets-stryker-in-global-disruption.html
  https://www.theregister.com/2026/03/11/us_medtech_firm_stryker_cyberattack_iran/
• Xygeni GitHub Action Compromised Via Tag Poison
  "An unidentified threat actor breached one of application security vendor Xygeni's GitHub Actions this month via tag poisoning. Xygeni, which sells a number of AI-powered AppSec products, said in a March 10 security incident report that it "detected suspicious activity affecting the repository used to publish the xygeni/xygeni-action GitHub Action." The attacker used pull requests in an effort to introduce malicious code (a compact command-and-control implant) into the repository, though Xygeni said the attempts were blocked via existing branch detection rules."
  https://www.darkreading.com/application-security/xygeni-github-action-compromised-via-tag-poison
  https://xygeni.io/blog/security-incident-report-xygeni-action-github-action-compromise/
• 238,000 Impacted By Bell Ambulance Data Breach
  "Ambulance services provider Bell Ambulance is notifying nearly 238,000 individuals that their personal, financial account, medical, and health insurance information was compromised in a February 2025 data breach. The Milwaukee, Wisconsin-based healthcare organization detected the network intrusion on February 13, 2025, and disclosed the incident on April 14, roughly a month after the Medusa ransomware gang claimed responsibility for it. Bell Ambulance said at the time that 114,000 people had been impacted."
  https://www.securityweek.com/238000-impacted-by-bell-ambulance-data-breach/
  https://therecord.media/235000-affected-cyberattack-ambulance-provider
• Michelin Confirms Data Breach Linked To Oracle EBS Attack
  "Tire giant Michelin has confirmed a data breach stemming from the massive cybercrime campaign that targeted organizations using Oracle’s E-Business Suite (EBS) solution. The Cl0p ransomware and extortion group has taken credit for the EBS hacking campaign, which involved the exploitation of zero-day vulnerabilities to gain access to data stored by the targeted organizations in Oracle’s enterprise management software. It’s worth noting that while Cl0p serves as the public-facing extortion brand for the Oracle EBS campaign, cybersecurity researchers believe the operation was driven by a sophisticated cluster of threat actors, most notably FIN11."
  https://www.securityweek.com/michelin-confirms-data-breach-linked-to-oracle-ebs-attack/
• Iran-Linked Hackers Claim Cyberattack On Albania’s Parliament Email Systems
  "Albania’s parliament said late Tuesday that it had been targeted by a “sophisticated” cyberattack aimed at deleting data and compromising several internal systems. In a statement shared with local media, parliament said its main systems and official website remained operational but confirmed that internal email services used by the parliamentary administration had been temporarily suspended. The disruption affected both incoming and outgoing communications."
  https://therecord.media/iran-linked-hackers-claim-cyberattack-albania-parliament

General News

• The Bridge To AI Value Will Be Built, Not Bought
  "The conversation around artificial intelligence often feels like a pendulum swinging between two extremes: a utopian future of effortless productivity and a dystopian vision of mass job displacement and hollowed-out economic growth. This "ghost GDP" thesis—the idea that AI will create statistical gains that fail to circulate through the real economy—stokes anxiety for business leaders and the public alike. But the facts on the ground from enterprises tell a different story. It’s a more pragmatic, grounded and ultimately more optimistic narrative. The evidence doesn't point to a speculative bubble or a workforce collapse. Instead, it shows a global economy in a period of foundational construction."
  https://www.cognizant.com/us/en/insights/insights-blog/bridge-to-ai-value-will-be-built-not-bought
  https://www.bankinfosecurity.com/plug-and-play-ai-myth-for-enterprises-a-30977
• Agentic AI Security: Why You Need To Know About Autonomous Agents Now
  "Agentic AI is making headlines worldwide for its potential force-multiplying capabilities, and organizations are understandably intrigued by how it can improve throughput and capabilities. However, as with any technological revolution, unforeseen issues are inevitable, and agentic AI is no exception. In organizations, these issues often arise from deploying personal assistants like OpenClaw or AI agents designed to optimize business and IT processes. Additionally, when personal assistants interact with “social networks” such as Moltbook, they introduce many hidden threats for organizations. These specific risks fall beyond the scope of this article, and will be addressed in a future blog."
  https://blog.talosintelligence.com/agentic-ai-security-why-you-need-to-know-about-autonomous-agents-now/
• Middle East Conflict Highlights Cloud Resilience Gaps
  "Businesses that counted on the cloud's distributed nature to guarantee their data's availability have had a cold dose of reality during the past two weeks. On Feb. 28, following military strikes by the US and Israel, Iran's Internet traffic fell to less than 1% across all major networks in the country, according to Cloudflare Radar, which tracks Internet traffic internationally. Within 24 hours, Iran responded, targeting infrastructure in the United Arab Emirates, Bahrain, and other Gulf States, hitting two Amazon Web Services' facilities in the UAE with drone strikes, while a third facility in Bahrain suffered "physical impacts to [its] infrastructure," Amazon Web Services stated March 2 on its AWS Health Dashboard."
  https://www.darkreading.com/cyber-risk/middle-east-conflict-highlights-cloud-resilience-gaps
• France: National Cybersecurity Agency Reports Ransomware Attack Drop In 2025
  "The French Cybersecurity Agency (ANSSI) has confirmed the decline of known ransomware attacks in 2025, in part due to successful law enforcement operations. The latest edition of the agency’s annual threat report, published on March 11, dives into the range of cyber threats that French public and private organizations have faced in 2025. According to ANSSI data, there were 128 ransomware attacks reported in France in 2025, slightly fewer than the 141 such attacks recorded in 2024."
  https://www.infosecurity-magazine.com/news/france-anssi-ransomware-attack/
• Cyber-Attacks On UK Firms Increase At Four Times Global Rate
  "UK organizations were hit by far fewer cyber-attacks in February than the global average, but the year-on-year (YoY) increase was nearly four times the growth rate worldwide, according to Check Point. The security vendor’s February 2026 Global Threat Intelligence report revealed that it blocked an average of 2086 cyber-attacks per organization per week globally, a 9.8% year-on-year (YoY) increase. In the UK, the figure was only 1504 per week, but that represented a 36% YoY increase. Education, energy & utilities, government, healthcare and financial services were among the most frequently targeted sectors in the UK."
  https://www.infosecurity-magazine.com/news/cyberattacks-uk-firms-increase/
• How To 10x Your Vulnerability Management Program In The Agentic Era
  "The age of agentic cyberattacks isn’t coming; it’s here. In November 2025, Anthropic disclosed that a Chinese threat actor had weaponized Claude to launch an agentic cyberattack, operating autonomously with minimal human intervention. The artificial intelligence (AI) conducted reconnaissance, exploit development, credential theft, lateral movement and data exfiltration at a speed that no human team could match."
  https://www.securityweek.com/how-to-10x-your-vulnerability-management-program-in-the-agentic-era/
• Automotive Tech: A Vast New Cyber Attack Surface
  "For decades, the biggest risks associated with cars were tangible and immediate. Vehicles crashed. Engines failed. People were injured or killed. In response, and under pressure from regulatory agencies and insurers, automakers poured enormous effort into physical safety: crash testing, safety standards, recalls, airbags, and structural engineering. Over time, safety became non‑negotiable."
  https://blog.barracuda.com/2026/03/11/automotive-tech-new-cyber-attack-surface
• SOC Threat Radar — March 2026
  "Identity-based threats continue to rise — particularly those involving anomalous logins using stolen credentials (see SOC Threat Radar — December 2025). During February, around one in every 16 suspicious logins came from Romania. This is an unexpected and anomalous increase compared to previous months, which is a clear indicator of suspicious activity."
  https://blog.barracuda.com/2026/03/11/soc-threat-radar-march-2026
• Global Law Enforcement Agencies, With Support From Meta, Disrupt Major Criminal Scam Networks Based In Southeast Asia
  "Online scams have become significantly more sophisticated and industrialized in recent years, with criminal networks often based in Southeast Asia in countries like Cambodia, Myanmar, and Laos running what amount to full-scale business operations. These operations cause real harm — they upend lives, destroy trust, and are deliberately designed to avoid detection and disruption. The work to protect people against scammers is never done, and requires ongoing collaboration with partners across the tech industry and law enforcement to ensure a safer experience for everyone online."
  https://about.fb.com/news/2026/03/meta-global-law-enforcement-disrupt-major-southeast-asia-criminal-scam-networks/
  https://thehackernews.com/2026/03/meta-disables-150k-accounts-linked-to.html
  https://www.theregister.com/2026/03/11/meta_international_cops_ai_scammers/
• What Boards Must Demand In The Age Of AI-Automated Exploitation
  "“You knew, and you could have acted. Why didn’t you?” This is the question you do not want to be asked. And increasingly, it’s the question leaders are forced to answer after an incident. For years, many executive teams and boards have treated a large vulnerability backlog as an uncomfortable but tolerable fact of life: “we’ve accepted the risk.” If you’ve ever seen a report showing thousands (or tens of thousands) of open Highs and Critical CVEs, you’ve probably also heard the usual rationalizations from folks that would rather look the other way: we have other priorities, this will take years of engineering time to fix, how do you know these are really Critical, we’re still prioritizing, we’ll get to it."
  https://thehackernews.com/2026/03/what-boards-must-demand-in-age-of-ai.html
• Meta Says It Culled Millions Of Scam Ads Amid Accusations That It Profits From Them
  "Meta said it removed 159 million scam ads in 2025, amid calls from U.S. lawmakers for an investigation into the company’s “facilitation of and profiting from” fraudulent advertising. The company said it also removed 10.9 million Facebook and Instagram accounts associated with criminal scam centers as it rolled out new tools aimed at stopping online fraud, something Meta describes as “one of the fastest-growing forms of organized crime globally.” Americans lost more than $10 billion to scams in 2023, according to the Federal Trade Commission (FTC), with hundreds of billions stolen globally through schemes that often begin on social media."
  https://therecord.media/meta-scam-advertising-crackdown

อ้างอิง
Electronic Transactions Development Agency (ETDA)

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand