การโจมตีแบบ "Polymorphic" ที่ถูกคิดค้นขึ้นใหม่ทำให้ Chrome extensions ที่เป็นอันตรายสามารถเปลี่ยนรูปแบบเป็น extensions อื่น ๆ ได้ รวมถึง Password managers, Crypto wallets และแอปพลิเคชันธนาคาร เพื่อขโมยข้อมูลที่สำคัญ

(more…)

CISA ได้แจ้งเตือนหน่วยงานของรัฐบาลกลางสหรัฐฯ ให้ตรวจสอบ และแก้ไขความปลอดภัยระบบของตนจากการโจมตีโดยใช้ช่องโหว่ของ Cisco และ Windows ถึงแม้ว่า CISA จะระบุว่าช่องโหว่เหล่านี้กำลังถูกใช้ในการโจมตีอย่างแพร่หลาย แต่ก็ยังไม่ได้ให้รายละเอียดที่เจาะจงเกี่ยวกับการโจมตีนี้ และใครอยู่เบื้องหลัง

(more…)

มหาวิทยาลัย และองค์กรภาครัฐในอเมริกาเหนือ และเอเชียตกเป็นเป้าหมายของมัลแวร์บนระบบ Linux ที่ไม่เคยถูกพบมาก่อนที่ชื่อว่า Auto-Color ระหว่างเดือนพฤศจิกายนถึงธันวาคม 2024 ตามผลการค้นพบใหม่จาก Palo Alto Networks Unit 42

นักวิจัยด้านความปลอดภัย Alex Armstrong รายงานมัลแวร์ในทางเทคนิคว่า "เมื่อติดตั้งแล้ว Auto-Color จะทำให้ผู้โจมตีเข้าถึงเครื่องที่ถูกบุกรุกจากระยะไกลได้เต็มรูปแบบ ทำให้ยากต่อการลบออกโดยไม่ต้องใช้ซอฟต์แวร์เฉพาะทาง"

Auto-color เป็นชื่อที่ได้มาจากชื่อไฟล์ที่เพย์โหลดในขั้นเริ่มต้นเปลี่ยนชื่อตัวเองหลังจากติดตั้ง ปัจจุบันยังไม่มีข้อมูลว่ามัลแวร์ดังกล่าวเข้าถึงเป้าหมายได้อย่างไร แต่ที่ทราบคือมันต้องการให้เหยื่อรันไฟล์นี้บนระบบ Linux ของตัวเองอย่างแน่นอน

ลักษณะเด่นอย่างหนึ่งของมัลแวร์นี้คือเทคนิคที่ใช้ในการหลบเลี่ยงการตรวจจับ ซึ่งรวมถึงการใช้ชื่อไฟล์ที่ดูไม่เป็นอันตราย เช่น door หรือ egg การซ่อนการเชื่อมต่อกับ command-and-control (C2 Server) และการใช้ประโยชน์จากอัลกอริทึมการเข้ารหัสเพื่อปกปิดข้อมูลการเชื่อมตอ่ และการกำหนดค่าต่าง ๆ

เมื่อเปิดใช้งานด้วยสิทธิ์ root แล้ว มัลแวร์จะดำเนินการติดตั้งไลบรารีที่เป็นอันตรายชื่อว่า "libcext.

Broadcom แจ้งเตือนลูกค้าในวันนี้ (4 มีนาคม 2025) เกี่ยวกับช่องโหว่ Zero-days 3 รายการของ VMware ซึ่งถูกระบุว่ากำลังถูกนำมาใช้ในการโจมตี และได้รับการรายงานจาก Microsoft Threat Intelligence Center

ช่องโหว่ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation, และ Telco Cloud Platform

ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลระบบ หรือ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อหลีกเลี่ยงการควบคุมของ sandbox ของ Virtual Machine ได้

บริษัทได้อธิบายในวันนี้ว่า "เหตุการร์นี้เป็นสถานการณ์ที่ผู้โจมตีที่บุกรุก guest OS ของ Virtual Machine และได้รับสิทธิ์การเข้าถึงระดับสูง (ผู้ดูแลระบบ หรือ root) อาจทำให้สามารถเข้าควบคุม hypervisor ได้ โดยมีข้อมูลที่เชื่อได้ว่ากำลังมีการโจมตีโดยใช้ช่องโหว่นี้อยู่จริง ๆ"

Broadcom ระบุว่า CVE-2025-22224 เป็นช่องโหว่ VCMI heap overflow ที่มีความรุนแรงระดับ Critical ซึ่งสามารถทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบใน VM ที่ถูกโจมตี สามารถรันโค้ดใน VMX process ที่ทำงานบนโฮสต์ได้

CVE-2025-22225 เป็นช่องโหว่การเขียนข้อมูลโดยพลการใน ESXi ที่สามารถทำให้ VMX process สามารถเรียกการเขียนคอร์เนลโดยพลการ ซึ่งนำไปสู่การ escape จาก sandbox ได้ ในขณะที่ CVE-2025-22226 ถูกอธิบายว่าเป็นช่องโหว่ในการเปิดเผยข้อมูลของ HGFS ที่ทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถทำให้ข้อมูลรั่วไหลจาก VMX process ได้

ช่องโหว่ของ VMware มักถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับแรนซัมแวร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เนื่องจาก VMware ถูกใช้กันอย่างแพร่หลายในปฏิบัติการรเพื่อเก็บ หรือถ่ายโอนข้อมูลที่สำคัญขององค์กร

ล่าสุด Broadcom ได้ออกคำเตือนในเดือนพฤศจิกายน 2024 ว่า ผู้โจมตีได้มีการใช้ประโยชน์จากช่องโหว่ใน VMware vCenter Server สองรายการที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2024 หนึ่งในนั้นสามารถทำให้มีการยกระดับสิทธิ์เป็น root (CVE-2024-38813) ขณะที่อีกช่องโหว่เป็นช่องโหว่ระดับ Critical ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-38812) ซึ่งถูกพบในระหว่างการแข่งขัน Matrix Cup hacking 2024 ของจีนในปี 2024

ในเดือนมกราคม 2024 Broadcom ยังได้เปิดเผยว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ใน vCenter Server (CVE-2023-34048) เป็นช่องโหว่แบบ zero-day มาตั้งแต่ปลายปี 2021 เป็นอย่างน้อย เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ระบุว่า ข่าวที่มีการรายงานว่า CISA ถูกสั่งให้ไม่ติดตาม หรือรายงานเกี่ยวกับภัยคุกคามทางไซเบอร์จากรัสเซียนั้นไม่เป็นความจริง และภารกิจยังคงไม่เปลี่ยนแปลง

หน่วยงานความปลอดภัยทางไซเบอร์ของสหรัฐฯ ได้โพสต์บน X โดยระบุว่า "ภารกิจของ CISA คือการป้องกันภัยคุกคามทางไซเบอร์ทั้งหมด ที่มุ่งเป้าไปยังโครงสร้างพื้นฐานสำคัญของสหรัฐฯ รวมถึงภัยคุกคามจากรัสเซีย"

"ไม่มีการเปลี่ยนแปลงในท่าทีของ CISA การรายงานใด ๆ ที่ขัดแย้งกันนั้นเป็นเท็จ และทำลายความมั่นคงของชาติของเรา"

ข่าวนี้เกิดขึ้นหลังจากที่ The Guardian รายงานเมื่อวันเสาร์ที่ผ่านมาว่า (1 มีนาคม 2025) "รัฐบาลทรัมป์ไม่มองว่ารัสเซียเป็นภัยคุกคามทางไซเบอร์ต่อโครงสร้างพื้นฐานที่สำคัญ และผลประโยชน์ของสหรัฐฯ อีกต่อไป"

ตามรายงานดังกล่าว CISA ได้รับคำสั่งใหม่ในบันทึกภายในให้มุ่งเน้นการปกป้องระบบท้องถิ่น และภัยคุกคามจากจีน โดยไม่ได้กล่าวถึงรัสเซีย นอกจากนี้ The Guardian ยังรายงานว่า นักวิเคราะห์ของ CISA ได้รับคำสั่งด้วยวาจาว่าไม่ให้ติดตาม หรือรายงานเกี่ยวกับภัยคุกคามทางไซเบอร์ของรัสเซีย

CISA เป็นหน่วยงานของรัฐบาลสหรัฐฯ ที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานที่สำคัญ รวมถึงโครงสร้างพื้นฐานที่เกี่ยวข้องกับการเลือกตั้งจากภัยคุกคามทางไซเบอร์ และภัยคุกคามทาง Physical โดย CISA จะทำการตรวจสอบ และลดผลกระทบจากภัยคุกคามทางไซเบอร์จากศัตรูจากต่างประเทศรวมถึงรัสเซีย โดยแบ่งปันข้อมูลเกี่ยวกับภัยคุกคาม ประสานงานการตอบสนองต่อเหตุการณ์ และทำงานร่วมกับหน่วยงานของรัฐบาล และองค์กรเอกชนเพื่อเสริมสร้างการป้องกันความปลอดภัยทางไซเบอร์ระดับชาติ

ในการตอบคำถามเกี่ยวกับรายงานของ The Guardian นั้น Tricia McLaughlin ผู้ช่วยเลขานุการฝ่ายกิจการสาธารณะ กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ให้ข้อมูลกับ BleepingComputer ว่า บันทึกดังกล่าวเป็นข่าวปลอม และ CISA จะยังคงดำเนินการจัดการกับภัยคุกคามทางไซเบอร์จากรัสเซียต่อไป

McLaughlin ระบุกับ BleepingComputer ว่า "เรื่องราวทั้งหมดของ The Guardian เป็นเรื่องไร้สาระ อ้างอิงจากบันทึกที่ถูกกล่าวหาว่า รัฐบาลทรัมป์ไม่เคยออกคำสั่ง และ The Guardian ปฏิเสธที่จะให้เราดู หรือให้วันที่ของบันทึกดังกล่าว"

"CISA ยังคงมุ่งมั่นที่จะจัดการกับภัยคุกคามทางไซเบอร์ทั้งหมดที่มุ่งเป้าไปยังโครงสร้างพื้นฐานสำคัญของสหรัฐฯ รวมถึงจากรัสเซียด้วย ไม่มีการเปลี่ยนแปลงในท่าที หรือความสำคัญในด้านนี้"

TheRecord ยังรายงานเมื่อวันศุกร์ที่ผ่านมาว่า (28 กุมภาพันธ์ 2025) Pete Hegseth รัฐมนตรีว่าการกระทรวงกลาโหมได้สั่งการให้ Cyber Command หยุดปฏิบัติการโจมตีที่วางแผนไว้ ซึ่งมุ่งเป้าหมายไปที่รัสเซีย

The New York Times และ The Washington Post ยืนยันเพิ่มเติมเมื่อวันเสาร์ (1 มีนาคม 2025) โดยแหล่งข่าวระบุว่า การเปลี่ยนแปลงในท่าทีนี้มีขึ้นเพื่อให้สามารถเจรจาหยุดการรุกรานของรัสเซียในยูเครนได้

เจ้าหน้าที่ฝ่ายกลาโหมระดับอาวุโส ได้ระบุในคำแถลงเมื่อได้รับการติดต่อเกี่ยวกับการเปลี่ยนแปลงคำสั่งของ Cyber Command

โดยเจ้าหน้าที่ฝ่ายกลาโหมระบุว่า "เนื่องจากความกังวลเกี่ยวกับความปลอดภัยในการปฏิบัติการ เราไม่ให้ความเห็น หรือหารือเกี่ยวกับข่าวกรองทางไซเบอร์, แผนการ หรือการปฏิบัติการ"

"ไม่มีสิ่งใดที่มีความสำคัญต่อเลขานุการ Hegseth มากกว่าความปลอดภัยของเจ้าหน้าที่ของสหรัฐฯ ในการปฏิบัติการทุกประเภท รวมถึงในด้านไซเบอร์ด้วย"

ที่มา : bleepingcomputer

Google ได้เผยแพร่ Android Security Bulletin หรือการอัปเดตด้านความปลอดภัย สำหรับเดือนมีนาคม 2025 เพื่อแก้ไขช่องโหว่ทั้งหมด 44 รายการ ซึ่งรวมถึงช่องโหว่ 2 รายการที่ Google ระบุว่ากำลังถูกใช้ในการโจมตีจริงอยู่ในปัจจุบัน

ช่องโหว่ที่มีระดับความรุนแรงสูง 2 รายการมีดังต่อไปนี้

CVE-2024-43093 - ช่องโหว่การยกระดับสิทธิ์ใน Framework component ซึ่งอาจส่งผลให้สามารถเข้าถึงไดเร็กทอรี "Android/data," "Android/obb," และ "Android/sandbox" และไดเร็กทอรีย่อยที่เกี่ยวข้องโดยไม่ได้รับอนุญาต
CVE-2024-50302 - ช่องโหว่การยกระดับสิทธิ์ใน HID USB component ของ Linux kernel ซึ่งอาจนำไปสู่การรั่วไหลของ kernel memory ที่ไม่ได้ถูกกำหนดค่า ไปยังผู้โจมตีในระดับ local ผ่าน HID reports ที่ถูกสร้างขึ้นมาเป็นพิเศษ

ที่น่าสังเกตคือ CVE-2024-43093 เคยถูก Google ระบุไว้ในคำแนะนำด้านความปลอดภัยประจำเดือนพฤศจิกายน 2024 ว่ากำลังถูกใช้ในการโจมตีเป็นวงกว้าง โดย Google ให้ข้อมูลกับ The Hacker News ว่า เป็นการเผยแพร่การแก้ไขที่อัปเดตสำหรับช่องโหว่นี้ จึงทำให้ CVE-2024-43093 อยู่ในคำแนะนำด้านความปลอดภัยสำหรับเดือนมีนาคม

ในทางกลับกัน CVE-2024-50302 เป็นหนึ่งในสามช่องโหว่ที่เชื่อมโยงกับช่องโหว่แบบ zero-day ที่ Cellebrite คิดค้นขึ้นเพื่อเจาะเข้าไปยังโทรศัพท์ Android ของนักเคลื่อนไหวเยาวชนชาวเซอร์เบียในเดือนธันวาคม 2024 และช่องโหว่นี้เกี่ยวข้องกับการใช้ CVE-2024-53104, CVE-2024-53197 และ CVE-2024-50302 เพื่อให้ได้รับสิทธิ์ที่สูงขึ้นด้วยการฝังสปายแวร์ที่เรียกว่า NoviSpy

โดยช่องโหว่ทั้งสามรายการอยู่ใน Linux kernel และได้รับการแก้ไขเมื่อปลายปีที่แล้ว ส่วน CVE-2024-53104 ได้รับการแก้ไขโดย Google ใน Android เมื่อเดือนที่ผ่านมา

ในคำแนะนำ Google ยอมรับว่าทั้ง CVE-2024-43093 และ CVE-2024-50302 เข้าข่ายการโจมตีที่มีเป้าหมายเฉพาะเจาะจง

Google ได้เผยแพร่แพตช์ความปลอดภัยสองระดับ คือ 1 มีนาคม 2025 และ 5 มีนาคม 2025 เพื่อให้ Android partners สามารถแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ของ Android ทั้งหมดได้รวดเร็วขึ้น

ที่มา: thehackernews

Cado Security Labs ได้ระบุถึงแคมเปญการโจมตีด้วยมัลแวร์ที่มุ่งเป้าไปยังสำนักงานตำรวจแห่งชาติของประเทศไทย โดยแคมเปญนี้ใช้เอกสารที่ดูเหมือนจะถูกต้อง ซึ่งมีเนื้อหาเกี่ยวกับ FBI เพื่อส่งไฟล์ Shortcut ที่ในที่สุดจะทำให้เกิดการรัน Yokai backdoor และแฝงตัวอยู่ในระบบของเหยื่อ การดำเนินการที่พบในแคมเปญนี้สอดคล้องกับกลุ่ม APT จีนที่ชื่อว่า Mustang Panda (more…)

นักวิจัยพบระบบจัดการการเข้าถึง (Access Management Systems - AMS) ที่ตั้งค่าผิดพลาด และถูกเปิดเผยกว่า 49,000 รายการในหลายอุตสาหกรรม และหลายประเทศ ซึ่งอาจส่งผลกระทบต่อความเป็นส่วนตัว และความปลอดภัยทางกายภาพในภาคส่วนที่สำคัญ (more…)

ผู้ให้บริการอีเมลที่เน้นความเป็นส่วนตัว Tuta (เดิมชื่อ Tutanota) และ VPN Trust Initiative (VTI) กำลังแสดงความกังวลเกี่ยวกับกฎหมายใหม่ของฝรั่งเศสที่เสนอให้มี backdoor ในระบบเข้ารหัสข้อความ และจำกัดการเข้าถึงอินเทอร์เน็ต (more…)

GitLab ออกอัปเดตด้านความปลอดภัยอย่างเร่งด่วน เพื่อแก้ไขช่องโหว่หลายรายการที่มีระดับความรุนแรงสูงในแพลตฟอร์ม ซึ่งสามารถทำให้ผู้ไม่หวังดีสามารถ Bypass กลไกด้านความปลอดภัย, เรียกใช้สคริปต์ที่เป็นอันตราย และเข้าถึงข้อมูลที่มีความสำคัญ (more…)