ThreatsDay Bulletin: AI Prompt RCE, Claude 0-Click, RenEngine Loader, Auto 0-Days & 25+ Stories

รายงานข่าวกรองภัยคุกคามไซเบอร์ประจำสัปดาห์นี้ชี้ให้เห็นว่าผู้โจมตีมุ่งเน้นการใช้ประโยชน์จากวิธีการที่ได้ผลอยู่แล้ว เช่น การใช้เครื่องมือที่เชื่อถือได้ในทางที่ผิด, กระบวนการทำงานที่คุ้นเคย และช่องโหว่ที่ถูกมองข้าม การโจมตีเริ่มต้นมักจะง่ายขึ้น แต่กิจกรรมหลังการประนีประนอมระบบมีความซับซ้อนและมุ่งเน้นการฝังตัวเพื่อดึงข้อมูลสำคัญในระยะยาว นอกจากนี้ ยังมีการผสมผสานเทคนิคระหว่างอาชญากรรมไซเบอร์, การจารกรรม และการบุกรุกโดยฉวยโอกาส ทำให้การระบุตัวผู้โจมตีและการป้องกันทำได้ยากขึ้น รายงานครอบคลุมภัยคุกคามสำคัญ 18 รายการ รวมถึงช่องโหว่ RCE ใน AI และ 0-day ใน Notepad, มัลแวร์ขโมยข้อมูลใหม่ (LTX Stealer, Marco Stealer), Ransomware (Coinbase Cartel, Crazy ransomware), การจี้เซสชัน Telegram และการโจมตีโครงสร้างพื้นฐานที่สำคัญ

Severity: วิกฤต

System Impact:

• Windows Notepad App
• Node.js systems
• Chromium-based browsers
• Cryptocurrency wallets/related artifacts
• Cloud services (Dropbox, Google Drive, Supabase, Cloudflare, Azure Blob Storage, Cloudflare Pages, Netlify, Discord)
• Telegram accounts
• Discord platform (age verification)
• Enterprise systems leveraging RMM platforms (SimpleHelp, Net Monitor for Employees Professional)
• Google Looker instances (on-premise and cloud)
• Automotive systems (IVI, EV chargers, car OS – Tesla, Alpitronic HYC50, ChargePoint Home Flex, Automotive Grade Linux)
• GNU InetUtils telnet daemon (Telnet traffic globally)
• 7-Zip file archiver (trojanized installer)
• Linux-based cloud and enterprise environments (AWS, GCP, Azure, Alibaba Cloud, Tencent Cloud, Kubernetes)
• Online banking platforms (Latin America, Europe)
• Critical Infrastructure (Poland’s power grid, OT/ICS)
• Social media platforms

Technical Attack Steps:

1. AI Prompt RCE (Claude DXT): ผู้โจมตีสร้างกิจกรรม Google Calendar ที่เป็นอันตราย ผู้ใช้ป้อนพรอมต์ปกติ (เช่น “Please check my latest events… and then take care of it for me”) ไปยัง Claude DXT ซึ่ง AI Assistant จะเชื่อมโยงเครื่องมือต่างๆ โดยอัตโนมัติ ตีความพรอมต์เป็นการอนุญาตให้รันคำสั่งที่ฝังอยู่ในกิจกรรมปฏิทินที่เป็นอันตราย นำไปสู่การรันโค้ดจากระยะไกลพร้อมสิทธิ์ของระบบเต็มรูปแบบ
2. Notepad RCE: ผู้โจมตีสร้างไฟล์ Markdown ที่มีลิงก์ที่เป็นอันตราย เมื่อผู้ใช้เปิดไฟล์นี้และคลิกลิงก์ จะเกิดการรันโค้ดจากระยะไกลในบริบทความปลอดภัยของผู้ใช้
3. Information Stealers (LTX, Marco, ACR): มัลแวร์ถูกแจกจ่ายผ่าน Inno Setup installer ที่มีการปกปิดอย่างมาก หรือไฟล์ ZIP ที่มีตัวดาวน์โหลด เมื่อรัน มัลแวร์จะขโมยข้อมูลประจำตัวจากเบราว์เซอร์, กระเป๋าเงินคริปโต และไฟล์สำคัญอื่นๆ ข้อมูลที่ขโมยมาจะถูกเข้ารหัสและส่งไปยังเซิร์ฟเวอร์ C2
4. Telegram Session Hijacking: ผู้โจมตีหลอกเหยื่อให้สแกน QR Code หรือป้อนหมายเลขโทรศัพท์/รหัสยืนยันบนเว็บไซต์ปลอม ซึ่งจะส่งข้อมูลไปยัง API ที่ถูกต้องของ Telegram ก่อให้เกิดคำขออนุญาตในแอป หากเหยื่ออนุมัติ ผู้โจมตีจะสามารถเข้าถึงเซสชันได้อย่างสมบูรณ์
5. GuLoader Evasion: ใช้โค้ด Polymorphic และการปกปิดการควบคุมการไหลโดยใช้ข้อยกเว้นเพื่อซ่อนฟังก์ชันการทำงาน และหลีกเลี่ยงกฎที่อิงตามชื่อเสียงโดยโฮสต์ Payload บนบริการคลาวด์ที่เชื่อถือได้ (Google Drive, OneDrive)
6. Ransomware via Monitoring Tools (Crazy Ransomware): ผู้โจมตีใช้เครื่องมือตรวจสอบพนักงานเชิงพาณิชย์ (Net Monitor) และแพลตฟอร์ม RMM (SimpleHelp) เพื่อสร้างช่องทางการเข้าถึงจากระยะไกลทั้งแบบหลักและสำรอง เครื่องมือเหล่านี้ถูกใช้สำหรับการสอดแนม, ส่ง Payload เพิ่มเติม และติดตั้ง Crazy ransomware
7. CrashFix Variant Attack: เหยื่อถูกหลอกให้รันคำสั่งผ่าน Windows Run dialog คำสั่งนี้ใช้ประโยชน์จากไบนารี Windows ที่ถูกต้อง (finger.exe) ซึ่งถูกคัดลอก, เปลี่ยนชื่อ และรันจากไดเรกทอรีที่ผู้ใช้สามารถเขียนได้ ผลลัพธ์จะถูกส่งเข้าสู่ cmd.exe เพื่อส่ง Payload PowerShell ที่ถูกปกปิด ซึ่งจะดึง Python backdoor และ SystemBC DLL implant จากโครงสร้างพื้นฐานของผู้โจมตี
8. Looker RCE Chain: ผู้โจมตีใช้ช่องโหว่ Git hook overrides เพื่อรันโค้ดจากระยะไกล และช่องโหว่การข้ามการอนุญาตผ่านการใช้ประโยชน์จากฐานข้อมูลภายใน เพื่อประนีประนอมอินสแตนซ์ Looker ซึ่งอาจนำไปสู่การเข้าถึงข้าม Tenant และการขโมยฐานข้อมูล MySQL ภายใน
9. Trojanized 7-Zip Proxyware: ผู้ใช้ดาวน์โหลดโปรแกรมติดตั้ง 7-Zip ปลอมจากโดเมนที่คล้ายกัน (เช่น 7zip[.]com) โปรแกรมติดตั้งจะดรอป Proxy component ที่ลงทะเบียนโฮสต์ที่ติดมัลแวร์เข้าสู่ Residential Proxy node ซึ่งจะส่งการรับส่งข้อมูลของบุคคลที่สามผ่านที่อยู่ IP ของเหยื่อ

Recommendations:

Short Term:

• ติดตั้งแพตช์ความปลอดภัยล่าสุดโดยเร็วที่สุด โดยเฉพาะอย่างยิ่งสำหรับ Microsoft Notepad (CVE-2026-20841) และระบบยานยนต์ที่เกี่ยวข้อง (Pwn2Own Automotive 2026) รวมถึง Google Looker (CVE-2025-12743)
• อบรมและสร้างความตระหนักรู้แก่ผู้ใช้เกี่ยวกับการโจมตีแบบฟิชชิ่ง, สแกม “Pig Butchering”, การดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ (เช่น 7-Zip ปลอม), และการคลิกลิงก์ที่น่าสงสัยในเอกสาร Markdown
• ตรวจสอบการตั้งค่าความปลอดภัยของ AI Assistant (เช่น Claude Desktop Extensions) และเครื่องมืออัตโนมัติอื่นๆ เพื่อให้แน่ใจว่าไม่มีการดำเนินการที่สามารถเรียกใช้โค้ดโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งในบริบทของ “0-click” RCE
• ตรวจสอบและบล็อก Indicators of Compromise (IoCs) ที่เกี่ยวข้องกับมัลแวร์ LTX Stealer, Marco Stealer, GuLoader, RenEngine Loader, Foxveil, SystemBC, ACR Stealer และ VoidLink
• เปลี่ยนรหัสผ่านเริ่มต้นทันทีสำหรับอุปกรณ์ OT/ICS และบังคับใช้การเปลี่ยนรหัสผ่านสำหรับผู้ดูแลระบบและผู้จำหน่าย
• ตรวจสอบบัญชี Telegram และแพลตฟอร์มโซเชียลมีเดียอื่นๆ สำหรับกิจกรรมที่น่าสงสัย และเปิดใช้งานการยืนยันตัวตนแบบหลายขั้นตอน (MFA) เสมอ
• ผู้ให้บริการโครงสร้างพื้นฐานควรพิจารณาการกรองพอร์ต 23 (Telnet) หากไม่จำเป็นเพื่อลดความเสี่ยงจากการโจมตีที่เกี่ยวข้องกับ Telnetd

Long Term:

• ใช้หลักการ Zero Trust (Zero Trust Everywhere) เพื่อปกป้องพนักงาน, สาขา, และระบบคลาวด์ รวมถึงการใช้งาน AI และรับมือกับการโจมตีที่ขับเคลื่อนด้วย AI
• เสริมสร้างความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคาม (EDR/XDR) เพื่อตรวจจับพฤติกรรมที่ผิดปกติภายในสภาพแวดล้อมที่เชื่อถือได้ และการใช้งานเครื่องมือที่ถูกต้องในทางที่ผิด
• ดำเนินการตรวจสอบความปลอดภัยและประเมินช่องโหว่อย่างสม่ำเสมอ โดยเฉพาะในระบบคลาวด์และสภาพแวดล้อมการทำงานร่วมกัน
• พัฒนานโยบายและแนวปฏิบัติที่เข้มงวดสำหรับการใช้งาน AI และ LLM เพื่อป้องกันการฉีดพรอมต์และการใช้ในทางที่ผิดที่อาจนำไปสู่ RCE
• ลงทุนในการสร้างแผนการรับมือเหตุการณ์ (Incident Response Plans/Playbooks) ที่แข็งแกร่งสำหรับโครงสร้างพื้นฐานที่สำคัญ
• เสริมสร้างความปลอดภัยของ API ด้วยระบบ Identity สมัยใหม่ และตรวจสอบช่องโหว่ของแอปพลิเคชันอย่างต่อเนื่อง
• พิจารณาการใช้แพลตฟอร์มความปลอดภัยแบบรวมศูนย์ (Unified Security Platforms) เพื่อปกป้องระบบทั้งหมด
• บังคับใช้นโยบายการควบคุมการเข้าถึงที่เข้มงวดและตรวจสอบบัญชีผู้ใช้ที่ไม่ใช้งานหรือบัญชี orphaned account เพื่อลดความเสี่ยง
• หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่เป็นทางการ และใช้โซลูชันความปลอดภัยที่เชื่อถือได้เพื่อบล็อกโฆษณาที่เป็นอันตรายและไซต์ฟิชชิ่ง

Source: https://thehackernews.com/2026/02/threatsday-bulletin-ai-prompt-rce.html