Microsoft พัฒนาเครื่องสแกนตรวจจับ Backdoor ในโมเดลภาษาขนาดใหญ่แบบ Open-Weight
ทีม AI Security ของ Microsoft ได้พัฒนาเครื่องมือสแกนน้ำหนักเบาที่สามารถตรวจจับ Backdoor ในโมเดลภาษาขนาดใหญ่ (LLMs) แบบ Open-Weight เพื่อเพิ่มความน่าเชื่อถือให้กับระบบ AI โดยเครื่องมือนี้ใช้สัญญาณเชิงพฤติกรรม 3 ประการในการระบุ Backdoor ที่ถูกฝังไว้ในน้ำหนักของโมเดลระหว่างการฝึกฝน ซึ่งทำให้โมเดลที่ถูกโจมตี (เรียกว่า…
SystemBC Botnet Hijacked 10,000 Devices Worldwide to Use for DDoS Attacks
SystemBC ซึ่งเป็นมัลแวร์ตระกูลหนึ่งที่ถูกบันทึกครั้งแรกในปี 2019 ได้พัฒนาขึ้นเป็นโครงสร้างบอตเน็ตขนาดใหญ่ที่ควบคุมอุปกรณ์ที่ถูกยึดไปกว่า 10,000 เครื่องทั่วโลก มันทำหน้าที่หลักเป็น SOCKS5 proxy และ backdoor ที่ช่วยให้ผู้โจมตีสามารถปกปิดทราฟฟิกที่เป็นอันตรายและคงการเข้าถึงเครือข่ายที่ถูกบุกรุกได้ในระยะยาว โครงสร้าง ‘backconnect’ นี้ทำให้เครือข่ายมีความยืดหยุ่นและสามารถรอดพ้นจากการขัดขวางโดยหน่วยงานบังคับใช้กฎหมายได้ เช่น Operation Endgame ของ Europol…
CISA: VMware ESXi flaw now exploited in ransomware attacks
CISA (U.S. Cybersecurity and Infrastructure Security Agency) ได้ยืนยันว่ากลุ่มแรนซัมแวร์ได้เริ่มใช้ประโยชน์จากช่องโหว่ VMware ESXi sandbox escape ที่มีความรุนแรงสูง (high-severity) ซึ่งก่อนหน้านี้เคยถูกใช้ในการโจมตีแบบ Zero-day ช่องโหว่นี้ (CVE-2025-22225) ได้รับการแก้ไขโดย Broadcom…
Interlock Ransomware Actors New Tool Exploiting Gaming Anti-Cheat Driver 0-Day to Disable EDR and AV
กลุ่มแรนซัมแวร์ Interlock ได้พัฒนาเครื่องมือใหม่ชื่อ “Hotta Killer” ซึ่งใช้ประโยชน์จากช่องโหว่ Zero-Day ในไดรเวอร์ Anti-Cheat ของเกม (CVE-2025-61155) เพื่อปิดการใช้งานซอฟต์แวร์ EDR และ Antivirus ก่อนที่จะทำการเข้ารหัสข้อมูล กลุ่มนี้เป็นทีมขนาดเล็กที่กำหนดเป้าหมายหลักไปที่ภาคการศึกษาในสหรัฐอเมริกาและสหราชอาณาจักร โดยเริ่มการโจมตีด้วยมัลแวร์ MintLoader ซึ่งมักเกิดจากการหลอกลวงแบบ…
CISA เตือนช่องโหว่ GitLab อายุห้าปีที่ถูกใช้ในการโจมตี
สำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ออกคำสั่งให้หน่วยงานภาครัฐดำเนินการแก้ไขช่องโหว่เก่าแก่ของ GitLab ที่มีอายุห้าปี ซึ่งเป็นช่องโหว่ประเภท Server-Side Request Forgery (SSRF) ที่กำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ โดยช่องโหว่นี้ถูกค้นพบและแก้ไขตั้งแต่เดือนธันวาคม 2021 แต่ยังคงมีกลุ่มผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่นี้อยู่ Severity: วิกฤต System Impact: GitLab Community…
เครื่องมือ EDR Killer ใช้ไดรเวอร์เคอร์เนลที่ลงนามแล้วจากซอฟต์แวร์นิติวิทยา
ผู้โจมตีกำลังใช้เครื่องมือ EDR killer ที่สามารถตรวจจับและปิดการทำงานของเครื่องมือรักษาความปลอดภัย 59 รายการ โดยอาศัยการละเมิดไดรเวอร์เคอร์เนล EnCase ‘EnPortv.sys’ ที่เคยถูกต้องแต่ถูกเพิกถอนไปนานแล้ว เทคนิคนี้เรียกว่า ‘Bring Your Own Vulnerable Driver’ (BYOVD) ซึ่งผู้โจมตีใช้ไดรเวอร์ที่มีช่องโหว่เพื่อเข้าถึงระดับเคอร์เนลและยุติกระบวนการของซอฟต์แวร์รักษาความปลอดภัย เพื่อเตรียมการสำหรับกิจกรรมแรนซัมแวร์ Severity:…
ValleyRAT แฝงตัวเป็น LINE Installer โจมตีผู้ใช้เพื่อขโมยข้อมูลล็อกอิน
พบการโจมตีมัลแวร์ที่ซับซ้อน โดยผู้ไม่หวังดีแพร่กระจายมัลแวร์ ValleyRAT ที่ปลอมตัวเป็นโปรแกรมติดตั้งแอปพลิเคชัน LINE แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีนเป็นหลัก มัลแวร์ใช้กระบวนการติดเชื้อหลายขั้นตอนเพื่อหลีกเลี่ยงการตรวจจับ รวมถึงการปิดใช้งาน Windows Defender, ตรวจสอบสภาพแวดล้อมเพื่อหลีกเลี่ยง Sandbox และใช้เทคนิคการฉีดโค้ดขั้นสูง (PoolParty Variant 7) เข้าไปยังกระบวนการระบบที่เชื่อถือได้ (เช่น Explorer.exe, UserAccountBroker.exe)…
China-Linked Amaranth-Dragon Exploits WinRAR Flaw in Espionage Campaigns
กลุ่มภัยคุกคามทางไซเบอร์ที่เชื่อมโยงกับจีน ได้แก่ Amaranth-Dragon และ Mustang Panda กำลังดำเนินการแคมเปญจารกรรมข้อมูลมุ่งเป้าไปที่หน่วยงานรัฐบาลและบังคับใช้กฎหมายในเอเชียตะวันออกเฉียงใต้ Amaranth-Dragon ใช้ช่องโหว่ WinRAR (CVE-2025-8088) เพื่อรันโค้ดที่เป็นอันตรายและติดตั้งมัลแวร์ เช่น Amaranth Loader และ Havoc นอกจากนี้ยังพบมัลแวร์ TGAmaranth RAT…
CISA เตือนภัยช่องโหว่ SSRF ใน GitLab Community และ Enterprise Editions ถูกใช้โจมตีจริง
CISA ได้เพิ่มช่องโหว่ร้ายแรงของ GitLab (CVE-2021-39935) เข้าสู่รายการ Known Exploited Vulnerabilities (KEV) โดยแจ้งเตือนว่ามีการโจมตีจริงของช่องโหว่ Server-Side Request Forgery (SSRF) ใน GitLab Community และ Enterprise Editions…
Microsoft เปิดตัวการตรวจสอบ Sysmon ในตัวสำหรับ Windows 11
Microsoft เริ่มเปิดตัวฟังก์ชัน Sysmon ที่มาพร้อมกับระบบปฏิบัติการสำหรับระบบ Windows 11 บางระบบที่ลงทะเบียนในโปรแกรม Windows Insider Sysmon เป็นเครื่องมือฟรีจาก Microsoft Sysinternals ที่ใช้สำหรับตรวจสอบและบล็อกกิจกรรมที่เป็นอันตราย/น่าสงสัย รวมถึงบันทึกเหตุการณ์เหล่านี้ลงใน Windows Event Log เพื่อช่วยในการตรวจจับภัยคุกคาม Severity:…