สรุปข่าวประจำสัปดาห์: ช่องโหว่ Fortinet, RedLine Clipjack, NTLM Crack, การโจมตี Copilot และอื่นๆ

สรุปข่าวสารด้านความปลอดภัยทางไซเบอร์ประจำสัปดาห์นี้ เน้นย้ำถึงการโจมตีที่พัฒนาขึ้น, เฟรมเวิร์กมัลแวร์ และการตั้งค่าคลาวด์ที่ผิดพลาด ซึ่งกำลังเปลี่ยนแปลงภูมิทัศน์การป้องกันทางไซเบอร์ ช่องโหว่ร้ายแรงใน Fortinet FortiSIEM ถูกโจมตีอย่างหนัก, การแพร่กระจายของมัลแวร์ VoidLink บน Linux ที่มุ่งเป้าไปที่สภาพแวดล้อมคลาวด์, การหยุดชะงักบริการอาชญากรรม RedVDS ของ Microsoft, การแพร่กระจายของบ็อตเน็ต Kimwolf, การโจมตี Microsoft Copilot ด้วย Reprompt, และความเสี่ยงด้าน Supply Chain จากการตั้งค่า AWS CodeBuild ที่ผิดพลาด บทความเน้นย้ำว่าภัยคุกคามในปัจจุบันเกิดจากจุดอ่อนที่เชื่อมโยงกัน และผู้โจมตีกำลังใช้ระบบอัตโนมัติและเครื่องมือที่มีอยู่เพื่อแทรกซึมและควบคุม การป้องกันจึงจำเป็นต้องมองภาพรวมของสภาพแวดล้อมทั้งหมดอย่างต่อเนื่อง

Severity: วิกฤต

System Impact:

• Fortinet FortiSIEM
• สภาพแวดล้อม Linux (คลาวด์, เวิร์กสเตชันนักพัฒนาและผู้ดูแลระบบ)
• Microsoft Windows (สำหรับบริการ RedVDS, RedLineCyber clipboard hijacker, Remcos RAT, NTLM protocol, Windows Desktop Window Manager, Windows Admin Center)
• อุปกรณ์ Android TV Box
• Microsoft Copilot (AI แชทบอท)
• AWS CodeBuild
• GitHub repositories ของ AWS (รวมถึง AWS JavaScript SDK)
• Cisco AsyncOS Software
• ปลั๊กอิน WordPress Modular DS
• Palo Alto Networks PAN-OS
• ServiceNow
• Node.js
• Apache Struts 2
• Angular Template Compiler
• ผลิตภัณฑ์ Hikvision บางรุ่น
• ผลิตภัณฑ์ SAP บางรุ่น
• Mailpit
• OpenProject
• Cal.com
• ปลั๊กอิน Demo Importer Plus (WordPress)
• ปลั๊กอิน News and Blog Designer Bundle (WordPress)
• ปลั๊กอิน Integration Opvius AI for WooCommerce (WordPress)
• PagerDuty Runbook
• ASP.NET Core Kestrel server
• Livewire Filemanager (สำหรับเว็บไซต์ที่ใช้ Laravel)
• เบราว์เซอร์ Google Chrome, Microsoft Edge, Firefox (สำหรับส่วนขยาย GhostPoster)
• Microsoft Office
• ระบบของกองทัพเรือสหรัฐฯ
• AI chatbots/แพลตฟอร์ม genAI
• เครือข่ายคอมพิวเตอร์ของบริษัทต่างๆ
• แอปพลิเคชันใน Google Play Store (สำหรับเด็ก)
• ร้านค้าสินค้าพนักงานของธนาคารสหรัฐฯ
• ระบบบัญชีเงินเดือน
• Discord communities

Technical Attack Steps:

1. **Fortinet FortiSIEM (CVE-2025-64155)**: ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนส่งคำขอ TCP ที่สร้างขึ้นเป็นพิเศษไปยังบริการ phMonitor เพื่อใช้ช่องโหว่ Argument Injection ทำให้สามารถเขียนไฟล์ได้ตามอำเภอใจ ซึ่งนำไปสู่การประมวลผลโค้ดจากระยะไกลในฐานะผู้ดูแลระบบ จากนั้นใช้ช่องโหว่การยกระดับสิทธิ์ File Overwrite เพื่อเข้าถึงระดับ root และควบคุมอุปกรณ์ได้สมบูรณ์
2. **VoidLink Linux Malware**: เฟรมเวิร์กมัลแวร์ที่มุ่งเป้าไปที่สภาพแวดล้อมคลาวด์ ติดตั้งชุดโหลดเดอร์, อิมแพลนท์, รูทคิท และปลั๊กอินที่กำหนดเองเพื่อการซ่อนตัว สอดแนม และรวบรวมข้อมูล สามารถโปรไฟล์สภาพแวดล้อม Linux เพื่อเลือกกลยุทธ์การหลีกเลี่ยงการตรวจจับที่ดีที่สุด และสามารถลบตัวเองพร้อมใช้โมดูลต่อต้านการพิสูจน์หลักฐานหากตรวจพบการวิเคราะห์
3. **RedVDS Criminal Service**: ให้บริการเครื่องคอมพิวเตอร์เสมือนราคาถูกที่รันซอฟต์แวร์ Windows ที่ไม่ได้รับอนุญาตแก่กลุ่มอาชญากรไซเบอร์ ผู้โจมตีใช้ VM เหล่านี้เพื่อวิจัยเป้าหมาย จัดเตรียมโครงสร้างพื้นฐานฟิชชิ่ง ขโมยข้อมูลประจำตัว แฮกกล่องจดหมาย และดำเนินการฉ้อโกงทางการเงินโดยการแอบอ้างบุคคลอื่น
4. **Kimwolf Botnet**: บ็อตเน็ตที่ติดอุปกรณ์ Android TV Box กว่า 2 ล้านเครื่อง มุ่งเน้นการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่มีปริมาณมาก ใช้บริการพร็อกซี่เพื่อขยายการเข้าถึงและใช้ประโยชน์จาก ADB ที่เปิดเผยต่อสาธารณะและเครือข่ายพร็อกซี่
5. **Reprompt Attack (Microsoft Copilot)**: ผู้ใช้ตกเป็นเหยื่อโดยการคลิกที่ลิงก์ที่สร้างขึ้นเป็นพิเศษซึ่งชี้ไปยัง AI แชทบอท การโจมตีใช้การรวมกันของ Parameter 2 Prompt (P2P) injection, เทคนิค Double-Request และ Chain-Request เพื่อเลี่ยงการป้องกันการรั่วไหลของข้อมูลและดึงข้อมูลผู้ใช้ออกมาอย่างต่อเนื่องแม้เซสชันจะปิดไปแล้ว
6. **AWS CodeBuild Misconfiguration (CodeBreach)**: การตั้งค่า AWS CodeBuild ที่ผิดพลาดอย่างร้ายแรงอาจทำให้ผู้โจมตีเข้าควบคุม GitHub repositories ของ AWS ได้ทั้งหมด รวมถึง AWS JavaScript SDK ซึ่งสามารถนำไปสู่การฉีดโค้ดที่เป็นอันตรายและประนีประนอมแพลตฟอร์มในวงกว้าง
7. **Livewire Filemanager (CVE-2025-14894)**: ผู้โจมตีสามารถอัปโหลดไฟล์ PHP ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ระยะไกลของเว็บไซต์ที่ใช้ Laravel ซึ่งใช้ส่วนประกอบ Livewire Filemanager ได้ เมื่ออัปโหลดแล้ว ไฟล์ PHP สามารถเข้าถึงและถูกประมวลผลได้โดยการเรียกดูไดเรกทอรีที่สามารถเข้าถึงได้ผ่านเว็บ ทำให้เกิดการประมวลผลโค้ดโดยไม่ผ่านการยืนยันตัวตนบนอุปกรณ์โฮสต์
8. **GhostPoster Extensions**: ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย (บน Chrome, Edge, Firefox) จะทำการจี้ลิงก์พันธมิตร ฉีดโค้ดติดตาม และดำเนินการหลอกลวงการคลิกและโฆษณา
9. **RedLineCyber Clipboard Hijacking**: ผู้โจมตีสร้างความไว้วางใจในชุมชน Discord ที่เกี่ยวข้องกับการเล่นเกม การพนัน และการสตรีมสกุลเงินดิจิทัล จากนั้นแจกจ่ายมัลแวร์ “Pro.exe” (หรือ “peeek.exe”) ซึ่งเป็นโทรจัน Python สำหรับการจี้คลิปบอร์ด โดยปลอมตัวเป็น “เครื่องมือรักษาความปลอดภัย” หรือ “ยูทิลิตี้การสตรีม” เมื่อทำงาน มัลแวร์จะตรวจสอบคลิปบอร์ดของ Windows อย่างต่อเนื่องเพื่อค้นหาที่อยู่กระเป๋าเงินดิจิทัล และแทนที่ด้วยที่อยู่กระเป๋าเงินของผู้โจมตีเพื่อขโมยสกุลเงินดิจิทัล
10. **Fake Shipping Documents Deliver Remcos RAT**: แคมเปญฟิชชิ่งใช้เอกสารหลอกลวงที่เกี่ยวข้องกับการขนส่งเพื่อล่อให้เหยื่อเปิดเอกสาร Microsoft Word ที่เป็นอันตราย ซึ่งจะเรียกใช้ช่องโหว่ CVE-2017-11882 ใน Microsoft Office เพื่อดาวน์โหลดและเรียกใช้สคริปต์ Visual Basic สคริปต์นี้จะดำเนินการโค้ด PowerShell ที่เข้ารหัส Base64 เพื่อดาวน์โหลดและเปิดโมดูล .NET DLL loader ซึ่งจะทำการเปิด Remcos RAT โดยตรงในหน่วยความจำและตั้งค่าการคงอยู่โดยใช้ Scheduled Tasks
11. **Net-NTLMv1 Crack**: ผู้โจมตีสามารถใช้ตาราง Rainbow Tables ที่ Google เปิดเผย หรือการโจมตีแบบ Brute-Force เพื่อกู้คืนคีย์ Net-NTLMv1 ภายในเวลาไม่ถึง 12 ชั่วโมงด้วยฮาร์ดแวร์ของผู้บริโภค ซึ่งนำไปสู่การขโมยข้อมูลประจำตัวได้ง่าย
12. **Former U.S. Navy Sailor Spying for China**: Jinchao Wei ทหารเรือสหรัฐฯ ถูกหน่วยข่าวกรองจีนชักชวนให้ขายความลับทางทหาร โดยการส่งภาพถ่ายและวิดีโอของเรือ U.S.S. Essex ข้อมูลอาวุธป้องกัน ข้อมูลทางเทคนิคและการปฏิบัติการของเรือรบสหรัฐฯ หลายพันหน้า และขายคู่มือทางเทคนิคและการปฏิบัติการประมาณ 60 ฉบับ แลกกับเงินมากกว่า 12,000 ดอลลาร์
13. **Payroll Pirates Redirect Paychecks**: ผู้โจมตีแอบอ้างเป็นพนักงานโทรศัพท์หาฝ่ายช่วยเหลือหลายแผนก เพื่อดำเนินการรีเซ็ตรหัสผ่านและลงทะเบียนอุปกรณ์ Multi-Factor Authentication (MFA) ใหม่ เมื่อเข้าสู่ระบบบัญชีเงินเดือนได้ ผู้โจมตีจะแก้ไขรายละเอียดการฝากโดยตรงของพนักงานหลายคน เพื่อเปลี่ยนเส้นทางเงินเดือนไปยังบัญชีธนาคารของตนเอง
14. **New Attack Uses DLL Side-Loading to Distribute PDFSIDER Malware**: ผู้โจมตีที่ไม่ทราบชื่อใช้เทคนิค DLL Side-Loading เพื่อติดตั้งแบ็คดอร์ PDFSIDER ซึ่งมีความสามารถ C2 ที่เข้ารหัส โดยใช้ไฟล์ปฏิบัติการที่ถูกต้องของ PDF24 Creator (“pdf24.exe”) และไฟล์ cryptbase.dll ปลอม มัลแวร์จะทำงานในหน่วยความจำเป็นหลัก ลดการทิ้งร่องรอยบนดิสก์ และให้เชลล์คำสั่งแบบโต้ตอบที่ซ่อนอยู่แก่ผู้โจมตี
15. **U.S. Bank Targeted by Keylogger**: ตรวจพบ Keylogger บนร้านค้าสินค้าพนักงานของธนาคารสหรัฐฯ โดยมัลแวร์จะดักจับข้อมูลทั้งหมดที่พิมพ์ลงในแบบฟอร์มของเว็บไซต์ ได้แก่ ข้อมูลล็อกอิน หมายเลขบัตรชำระเงิน และข้อมูลส่วนบุคคล จากนั้นข้อมูลที่ถูกขโมยจะถูกส่งออกไปผ่าน Image Beacon

Recommendations:

Short Term:

• อัปเดตแพตช์ช่องโหว่ Fortinet FortiSIEM (CVE-2025-64155) ทันที
• ตรวจสอบและแก้ไขการตั้งค่า AWS CodeBuild ที่ผิดพลาด (CodeBreach)
• เตือนผู้ใช้ให้ระวังฟิชชิ่ง, โซเชียลเอ็นจิเนียริง, และส่วนขยายเบราว์เซอร์ที่เป็นอันตราย
• ระมัดระวัง “เครื่องมือรักษาความปลอดภัย” หรือ “ยูทิลิตี้สตรีมมิ่ง” ที่ไม่พึงประสงค์
• ตรวจสอบคลิปบอร์ดของ Windows เพื่อหากิจกรรมที่ผิดปกติ (เช่น การเปลี่ยนที่อยู่กระเป๋าเงินดิจิทัล)
• ลบหรือแก้ไข Livewire Filemanager ที่มีช่องโหว่ (CVE-2025-14894)
• บล็อก C2 nodes ที่เกี่ยวข้องกับบ็อตเน็ต Aisuru และ Kimwolf
• อัปเดต Microsoft Office เพื่อแก้ไขช่องโหว่ (CVE-2017-11882)
• ประเมินและลดการใช้โปรโตคอล Net-NTLMv1 และเปลี่ยนไปใช้ Kerberos
• ตรวจสอบการใช้งาน Microsoft Copilot และยืนยันว่าการป้องกันการรั่วไหลของข้อมูลทำงานอย่างถูกต้อง
• สแกนและลบ Keylogger ออกจากระบบภายใน
• ตรวจสอบและรักษาความปลอดภัยการเข้าถึงระบบบัญชีเงินเดือน รวมถึงการยืนยันตัวตนแบบ Multi-Factor Authentication (MFA)
• เฝ้าระวังการโจมตีแบบ DLL Side-Loading
• หลีกเลี่ยงการอัปโหลดข้อมูลลูกค้าหรือไฟล์ที่มีความละเอียดอ่อนไปยัง AI chatbots หรือแพลตฟอร์ม genAI โดยไม่มีการปิดบังข้อมูลอย่างเหมาะสม

Long Term:

• นำโปรแกรมการจัดการแพตช์และการสแกนช่องโหว่ที่มีประสิทธิภาพมาใช้
• เสริมสร้างการจัดการสถานะความปลอดภัยบนคลาวด์ (CSPM) สำหรับ AWS และสภาพแวดล้อมคลาวด์อื่นๆ
• ติดตั้งโซลูชัน Endpoint Detection and Response (EDR) ขั้นสูง
• เสริมความแข็งแกร่งของนโยบาย Multi-Factor Authentication (MFA) และการควบคุมการเข้าถึง (PAM)
• จัดการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยอย่างสม่ำเสมอสำหรับพนักงานทุกคน โดยเน้นที่โซเชียลเอ็นจิเนียริง ฟิชชิ่ง และความเสี่ยงจาก AI
• ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ในแนวนอน
• เฝ้าระวังทราฟฟิกเครือข่ายเพื่อหาพฤติกรรมที่ผิดปกติและการสื่อสาร C2
• ดำเนินการทดสอบเจาะระบบ (Penetration Testing) และ Red Teaming อย่างสม่ำเสมอ
• ทบทวนและอัปเดตนโยบายความปลอดภัยที่เกี่ยวข้องกับการจัดการข้อมูลด้วย AI
• พิจารณาการใช้สถาปัตยกรรม Zero Trust
• ใช้นโยบายรหัสผ่านที่รัดกุมและตรวจสอบข้อมูลประจำตัวเป็นประจำ
• ให้ความสำคัญกับความปลอดภัยของ Supply Chain สำหรับซอฟต์แวร์และส่วนขยาย
• ตรวจสอบบริการของบุคคลที่สามและการเข้าถึงข้อมูลที่ละเอียดอ่อนอย่างสม่ำเสมอ
• นำมาตรการต่อต้านการพิสูจน์หลักฐานและแผนรับมือเหตุการณ์มาใช้

Source: https://thehackernews.com/2026/01/weekly-recap-fortinet-exploits-redline.html