30/05/2026
🛑 แจ้งเตือน เครื่องมือดูแลระบบ อาจกลายเป็นเครื่องมือควบคุมระบบของผู้โจมตี ภัยคุกคามจากการนำ Remote Monitoring and Management (RMM) ไปใช้ในทางมิชอบ
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนหน่วยงานและองค์กรเกี่ยวกับแนวโน้มการนำเครื่องมือ Remote Monitoring and Management (RMM) ไปใช้ในทางมิชอบโดยผู้ไม่หวังดี เพื่อควบคุมเครื่องคอมพิวเตอร์ คงสิทธิ์การเข้าถึงระบบ และใช้เป็นช่องทางสนับสนุนการโจมตี
ในปัจจุบัน เครื่องมือ Remote Monitoring and Management (RMM) มีการนำมาใช้อย่างแพร่หลายในหลายองค์กร ไม่ว่าจะเป็นการดูแลเครื่องคอมพิวเตอร์ การสนับสนุนผู้ใช้งาน การบริหารจัดการระบบ การตรวจสอบสถานะเครื่องปลายทาง การถ่ายโอนไฟล์ และการสั่งงานระบบผ่าน remote shell หรือ remote desktop ซึ่งเป็นประโยชน์ต่อผู้ดูแลระบบในการบริหารจัดการอุปกรณ์จำนวนมากได้อย่างมีประสิทธิภาพ
ในทางกลับกัน เครื่องมือเหล่านี้เริ่มถูกนำไปใช้ในทางมิชอบโดยผู้ไม่หวังดีมากขึ้น เนื่องจากเป็นเครื่องมือที่ถูกต้องตามกฎหมาย มีฟังก์ชันการควบคุมระบบที่ครบถ้วน ใช้งานได้สะดวก และในบางกรณีเป็นซอฟต์แวร์แบบโอเพนซอร์สหรือสามารถใช้งานได้ฟรี ทำให้ผู้โจมตีสามารถนำไปใช้เป็นเครื่องมือควบคุมระบบ แทนการใช้มัลแวร์แบบดั้งเดิมที่อาจถูกตรวจจับได้ง่ายกว่า [1]
ในกรณีของเครื่องมือ MeshAgent ซึ่งเป็น agent ของ MeshCentral สำหรับบริหารจัดการเครื่องปลายทาง พบว่ามีแนวโน้มถูกนำมาใช้ในการโจมตีมากขึ้น โดยผู้โจมตีอาจติดตั้ง MeshAgent ลงบนเครื่องที่ถูกบุกรุก แล้วกำหนดค่าให้เชื่อมต่อกลับไปยัง MeshCentral server ที่ผู้โจมตีควบคุม เพื่อใช้สั่งรันคำสั่ง โอนย้ายไฟล์ ควบคุมหน้าจอ หรือคงการเข้าถึงระบบอย่างต่อเนื่อง ประเด็นสำคัญคือ MeshAgent / MeshCentral ไม่ใช่มัลแวร์โดยตัวเอง แต่เป็นเครื่องมือประเภท Dual-Use Tool หรือเครื่องมือที่สามารถใช้งานได้ทั้งในทางที่ถูกต้องและในทางที่ผิด หากองค์กรไม่มีการควบคุมและเฝ้าระวังการใช้งาน RMM อย่างเหมาะสม อาจทำให้แยกแยะได้ยากว่าการใช้งานดังกล่าวเป็นกิจกรรมของผู้ดูแลระบบจริง หรือเป็นการควบคุมเครื่องโดยผู้โจมตี
รายละเอียดด้านความเสี่ยงและแนวโน้มภัยคุกคาม [2]
จากข้อมูลที่มีการเผยแพร่และกรณีการตรวจพบในหลายเหตุการณ์ พบว่าผู้ไม่หวังดีมีแนวโน้มใช้ MeshAgent หรือเครื่องมือ Remote Monitoring and Management (RMM) อื่น ๆ หลังจากเจาะเข้าสู่ระบบได้แล้ว เช่น จาก phishing บัญชีรั่ว ช่องโหว่ของระบบ หรือ webshell บน server โดยมีรูปแบบสำคัญดังนี้
• ใช้เป็นช่องทางกลับเข้าระบบ ผู้โจมตีอาจติดตั้ง MeshAgent หรือ RMM ไว้บนเครื่องที่ถูกเจาะ เพื่อให้สามารถกลับมาควบคุมเครื่องได้ภายหลัง แม้เครื่องจะถูกรีสตาร์ทแล้ว
• ใช้เป็นเครื่องมือสั่งงาน ผู้โจมตีอาจตั้ง server ควบคุมของตนเอง แล้วให้เครื่องเหยื่อเชื่อมต่อกลับไป เพื่อสั่งรันคำสั่ง โอนย้ายไฟล์ หรือเปิด remote shell ได้
• ตรวจจับได้ยากกว่ามัลแวร์ทั่วไป เนื่องจาก RMM เป็นเครื่องมือที่ถูกกฎหมาย และมักใช้การเชื่อมต่อแบบ HTTPS คล้ายการใช้งานเว็บปกติ หากไม่มีรายการเครื่องมือที่อนุญาต อาจแยกได้ยากว่าเป็นผู้ดูแลระบบหรือผู้โจมตี
• ใช้ร่วมกับ ransomware ผู้โจมตีอาจใช้ RMM เพื่อสำรวจเครือข่าย ขโมยข้อมูล และเตรียมติดตั้ง ransomware ในขั้นตอนสุดท้าย โดย MeshAgent เริ่มถูกพบในเหตุการณ์ ransomware มากขึ้น แม้ยังไม่แพร่หลายเท่า AnyDesk, ScreenConnect หรือ SimpleHelp
• ซ่อนตัวด้วยชื่อไฟล์หรือ path ที่ดูปกติ ผู้โจมตีอาจเปลี่ยนชื่อไฟล์หรือวางไฟล์ไว้ในตำแหน่งที่ดูเหมือน service ของระบบ เพื่อให้ผู้ดูแลระบบสังเกตได้ยาก จึงควรตรวจสอบ hash, process, service และปลายทางที่โปรแกรมเชื่อมต่อไปด้วย
ความเสี่ยงที่อาจเกิดขึ้น [3]
ThaiCERT ประเมินว่า หากผู้ไม่หวังดีสามารถติดตั้งหรือใช้งาน MeshAgent หรือเครื่องมือ RMM อื่น ๆ ภายในระบบของหน่วยงานได้ อาจก่อให้เกิดความเสี่ยงดังนี้
• ผู้โจมตีสามารถควบคุมเครื่องได้โดยไม่ได้รับอนุญาต
• ผู้โจมตีสามารถสั่งรันคำสั่ง สำรวจระบบ และเคลื่อนย้ายภายในเครือข่าย
• อาจมีการติดตั้งเครื่องมือเพิ่มเติม เช่น network scanner, credential tool หรือ malware
• อาจมีการขโมยข้อมูลหรือถ่ายโอนไฟล์ออกจากระบบ
• ใช้เป็นช่องทาง persistence เพื่อกลับเข้าระบบซ้ำ แม้แก้ไขช่องทางโจมตีแรกแล้ว
• ทำให้การตรวจจับยากขึ้น เนื่องจากพฤติกรรมบางส่วนคล้ายการทำงานของผู้ดูแลระบบ
• อาจถูกใช้เป็นส่วนหนึ่งของการโจมตี ransomware โดยขโมยข้อมูลก่อนเข้ารหัสไฟล์
• กระทบต่อระบบสำคัญ ระบบให้บริการประชาชน ระบบฐานข้อมูล หรือระบบภายในขององค์กร
ในมุมของหน่วยงาน ความเสี่ยงไม่ได้อยู่ที่ตัว MeshAgent เพียงอย่างเดียว แต่อยู่ที่การไม่มี visibility ว่าองค์กรอนุญาตให้ใช้ RMM ใดบ้าง เครื่องใดควรติดตั้ง agent เครื่องใดไม่ควรมีการเชื่อมต่อ remote access และ agent ที่พบเชื่อมต่อไปยังเซิร์ฟเวอร์ ขององค์กรจริงหรือไม่
วิธีแก้ไขและป้องกัน [4]
เพื่อป้องกันไม่ให้เครื่องมือ Remote Monitoring and Management (RMM) ถูกนำไปใช้เป็นช่องทางควบคุมระบบโดยผู้ไม่หวังดี หน่วยงานควรเริ่มจากการตรวจสอบว่าในองค์กรมีการใช้งานเครื่องมือ remote access ใดบ้าง เครื่องมือใดได้รับอนุญาต และเครื่องใดไม่ควรมีโปรแกรมลักษณะนี้ติดตั้งอยู่ โดยเฉพาะเครื่องผู้ดูแลระบบ เครื่องเซิร์ฟเวอร์ และระบบสำคัญขององค์กร
• สำรวจเครื่องมือ RMM หรือโปรแกรม remote access ทั้งหมดที่มีการใช้งานในองค์กร เช่น AnyDesk, ScreenConnect, SimpleHelp, RustDesk, Splashtop, TeamViewer, MeshAgent และเครื่องมือที่มีลักษณะคล้ายกัน
• จัดทำรายการเครื่องมือ RMM ที่อนุญาตให้ใช้งานอย่างชัดเจน โดยระบุชื่อเครื่องมือ ผู้รับผิดชอบ เครื่องที่อนุญาตให้ติดตั้ง และเซิร์ฟเวอร์ หรือ domain ที่เครื่องมือดังกล่าวสามารถเชื่อมต่อได้
• ตรวจสอบเครื่องปลายทางและเซิร์ฟเวอร์ ว่ามีการติดตั้ง RMM ที่ไม่อยู่ในรายการอนุญาตหรือไม่ หากพบเครื่องมือที่ไม่ทราบที่มา ควรตรวจสอบทันทีว่าใครเป็นผู้ติดตั้ง ใช้เพื่อวัตถุประสงค์ใด และเชื่อมต่อไปยังปลายทางใด
• ตรวจสอบการเชื่อมต่อของเครื่องมือ RMM ว่าเชื่อมต่อไปยังเซิร์ฟเวอร์ ขององค์กรจริงหรือไม่ หากพบการเชื่อมต่อไปยังเซิร์ฟเวอร์ ภายนอกที่ไม่ทราบที่มา หรือไม่เกี่ยวข้องกับงานของหน่วยงาน ควรถือเป็นเหตุการณ์ต้องสงสัย
• จำกัดสิทธิ์ผู้ใช้งานทั่วไปไม่ให้สามารถติดตั้งโปรแกรม สร้าง service หรือเพิ่ม agent ได้เองโดยไม่จำเป็น เพื่อลดโอกาสที่ผู้โจมตีจะฝังเครื่องมือควบคุมระบบไว้ในเครื่อง
• บังคับใช้ Multi-Factor Authentication (MFA) กับระบบ remote access, VPN, RMM console, บัญชีผู้ดูแลระบบ และระบบบริหารจัดการสำคัญทั้งหมด
• ใช้ application control หรือ allowlisting เพื่ออนุญาตให้รันเฉพาะโปรแกรมที่องค์กรกำหนดไว้ และป้องกันการเปิดใช้งาน RMM ที่ไม่ได้รับอนุญาต
• บล็อกหรือจำกัดการเชื่อมต่อไปยัง RMM เซิร์ฟเวอร์ ภายนอกที่ไม่เกี่ยวข้องกับองค์กร ผ่าน firewall, proxy, DNS filtering หรือ EDR policy
• ตรวจสอบ log จาก endpoint, firewall, proxy, DNS, VPN, identity provider และ EDR อย่างต่อเนื่อง โดยเฉพาะ log ที่เกี่ยวข้องกับการติดตั้งโปรแกรมใหม่ การสร้าง service การเชื่อมต่อออกไปยังปลายทางภายนอก และการใช้งาน remote access นอกเวลาทำการ
• กำหนดขั้นตอนรับมือเมื่อพบ RMM ต้องสงสัย เช่น แยกเครื่องออกจากเครือข่ายชั่วคราว เก็บหลักฐาน ตรวจสอบปลายทางที่เชื่อมต่อ ตรวจสอบบัญชีที่เกี่ยวข้อง และตรวจสอบว่าเครื่องอื่นในเครือข่ายมีพฤติกรรมลักษณะเดียวกันหรือไม่
IOCs ที่เกี่ยวข้อง
รายการ IOCs ต่อไปนี้เป็นข้อมูลที่เกี่ยวข้องกับกรณีตรวจพบการใช้งาน MeshAgent / RMM และเครื่องมือที่เกี่ยวข้องในการควบคุมระบบ โดยหน่วยงานสามารถนำไปใช้ประกอบการตรวจสอบ เฝ้าระวัง และทำ threat hunting ภายในระบบที่เกี่ยวข้อง
ทั้งนี้ การตรวจพบ IOCs เพียงรายการใดรายการหนึ่งอาจยังไม่สามารถสรุปได้ทันทีว่าเป็นการบุกรุกระบบ หน่วยงานควรพิจารณาร่วมกับบริบทของระบบ ประวัติการใช้งาน เครื่องมือที่ได้รับอนุญาต พฤติกรรมของบัญชีผู้ใช้งาน และ log จากแหล่งข้อมูลอื่นประกอบด้วย
SHA-256
• e82ecbe3823046a27d8c39cc0a4acb498f415549946c9ff0e241838b34ed5a21
• 460acbb38b0bdb3d227de65010b1a323f448ec196860ce4979c0b8314763eb56
• dcf99ae0aa31fee1c5d3d6d53c99e8d11b0cb82cdb3ab81248ace279fe639708
MD5
• b8053bcd04ce9d7d19c7f36830a9f26b
ThaiCERT ขอให้หน่วยงานนำ IOCs ข้างต้นไปตรวจสอบในระบบที่เกี่ยวข้อง เช่น endpoint, server, proxy, firewall, DNS log, EDR และ SIEM โดยเฉพาะการตรวจสอบการเชื่อมต่อไปยัง C2 domain / URL การพบ hash หรือ path ที่เกี่ยวข้องกับ MeshAgent / RMM และการพบ webshell บนระบบ web application หากพบข้อมูลตรงกับ IOC หรือพบพฤติกรรมที่สอดคล้องกัน ควรดำเนินการสืบสวนเหตุการณ์ แยกเครื่องที่เกี่ยวข้องออกจากเครือข่าย และตรวจสอบการแพร่กระจายไปยังระบบอื่นโดยเร็ว
แหล่งอ้างอิง
[1] https://dg.th/e6bwnhvpk5
[2] https://dg.th/j8s6vncyiz
[3] https://dg.th/rl1y29vdx0
[4] https://dg.th/gzvxjiflkw
29/05/2026
🛑 แจ้งเตือน!! เทคโนโลยี “Mythos” และโครงการ “Project Glasswing” อาจทำให้การจัดการช่องโหว่ซอฟต์แวร์มีความท้าทายมากขึ้น
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งให้ผู้ดูแลระบบ หน่วยงานที่ใช้ซอฟต์แวร์ และผู้ที่เกี่ยวข้อง ติดตามความเคลื่อนไหวของเทคโนโลยีปัญญาประดิษฐ์ หรือ AI ที่ใช้สำหรับค้นหาช่องโหว่ในซอฟต์แวร์ ภายใต้ชื่อ “Mythos” ซึ่งพัฒนาโดยบริษัท Anthropic และอยู่ภายใต้โครงการ “Project Glasswing”**
1. รายละเอียด
Mythos เป็นโมเดล AI ที่ถูกออกแบบมาเพื่อช่วยค้นหาช่องโหว่ หรือจุดอ่อนด้านความปลอดภัยในซอฟต์แวร์ โดยปัจจุบันยังไม่ได้เปิดให้บุคคลทั่วไปใช้งาน และจำกัดการเข้าถึงเฉพาะหน่วยงานภาครัฐและพันธมิตรบางส่วนภายใต้โครงการ Project Glasswing
มีรายงานระบุว่า Mythos ได้สแกนโครงการซอฟต์แวร์โอเพนซอร์สไปแล้วมากกว่า 1,000 โครงการ และตรวจพบช่องโหว่ระดับสูงและระดับร้ายแรงมากกว่า 6,200 รายการ รวมถึงช่องโหว่สำคัญในไลบรารี WolfSSL
อย่างไรก็ตาม Anthropic ระบุว่า การเปิดให้ใช้งานในวงกว้างจะเกิดขึ้นในอนาคต เมื่อบริษัทมั่นใจว่ามีมาตรการป้องกันการนำเทคโนโลยีดังกล่าวไปใช้ในทางที่ผิดอย่างเพียงพอแล้ว
2. ระบบหรือหน่วยงานที่ควรให้ความสำคัญ หน่วยงานที่อาจได้รับผลกระทบและควรเตรียมความพร้อม ได้แก่
2.1 หน่วยงานที่ใช้ซอฟต์แวร์โอเพนซอร์สจำนวนมาก
2.2 ทีมพัฒนาระบบและทีมรักษาความปลอดภัยไซเบอร์ ที่ต้องดูแลและแก้ไขช่องโหว่ของระบบ
2.3 หน่วยงานที่ยังไม่มีขั้นตอนการอัปเดต แก้ไข หรือจัดการช่องโหว่ที่ชัดเจนและรวดเร็ว
2.4 หน่วยงานที่มีระบบจำนวนมาก แต่มีบุคลากรหรือเครื่องมือด้านความปลอดภัยจำกัด
3. ผลกระทบที่อาจเกิดขึ้น การที่ AI สามารถค้นหาช่องโหว่ได้จำนวนมากและรวดเร็ว อาจส่งผลให้หน่วยงานต้องเผชิญกับความท้าทาย ดังนี้
3.1 พบช่องโหว่จำนวนมากในระยะเวลาอันสั้น ทำให้จัดการไม่ทัน
3.2 ผู้ดูแลระบบมีภาระงานเพิ่มขึ้นในการตรวจสอบ แก้ไข และอัปเดตระบบ
3.3 ช่องโหว่สำคัญบางรายการอาจไม่ได้รับการแก้ไขอย่างทันท่วงที
3.4 หากเทคโนโลยีลักษณะเดียวกันถูกนำไปใช้โดยผู้ไม่หวังดี อาจเพิ่มความเสี่ยงต่อการโจมตีระบบ
3.5 องค์กรอาจต้องปรับปรุงกระบวนการบริหารจัดการช่องโหว่ให้มีประสิทธิภาพมากขึ้น
4. แนวทางการตรวจสอบสำหรับผู้ดูแลระบบ ThaiCERT ขอแนะนำให้ผู้ดูแลระบบและหน่วยงานที่เกี่ยวข้องดำเนินการตรวจสอบ ดังนี้
4.1 ตรวจสอบว่าหน่วยงานมีกระบวนการจัดการช่องโหว่ของระบบอย่างเป็นระบบหรือไม่
4.2 ตรวจสอบรายการช่องโหว่ที่ยังไม่ได้แก้ไข หรือยังค้างอยู่ในระบบ
4.3 จัดลำดับความสำคัญของช่องโหว่ โดยพิจารณาจากระดับความร้ายแรง ผลกระทบ และโอกาสที่จะถูกโจมตีจริง
4.4 ตรวจสอบว่าเครื่องมือสแกนช่องโหว่ที่ใช้งานอยู่สามารถรองรับข้อมูลจำนวนมากได้หรือไม่
4.5 ตรวจสอบว่ามีขั้นตอนการติดตาม แก้ไข และยืนยันผลหลังการแก้ไขช่องโหว่อย่างครบถ้วนหรือไม่
5. แนวทางลดความเสี่ยง เพื่อเตรียมความพร้อมต่อแนวโน้มดังกล่าว หน่วยงานควรพิจารณาดำเนินการ ดังนี้
5.1 ใช้แนวทางการจัดการช่องโหว่ตามระดับความเสี่ยงจริง แทนการแก้ไขทุกช่องโหว่ด้วยความสำคัญเท่ากัน
5.2 พัฒนาหรือปรับปรุงระบบอัตโนมัติสำหรับการอัปเดต แก้ไข และติดตามสถานะช่องโหว่
5.3 ใช้ข้อมูลประกอบการตัดสินใจ เช่น EPSS หรือ Threat Intelligence เพื่อช่วยประเมินว่าช่องโหว่ใดมีโอกาสถูกนำไปโจมตีมากกว่า
5.4 เสริมความพร้อมของทีมรักษาความปลอดภัยไซเบอร์ ทีมพัฒนาระบบ และทีม DevSecOps เพื่อรองรับภาระงานที่อาจเพิ่มขึ้น
5.5 ติดตามความเคลื่อนไหวของ Project Glasswing และการเปิดใช้งาน Mythos อย่างใกล้ชิด
5.6 จัดทำแผนรองรับกรณีพบช่องโหว่จำนวนมาก เพื่อให้สามารถตรวจสอบและแก้ไขได้ตามลำดับความสำคัญ
ThaiCERT ขอแนะนำให้หน่วยงานเตรียมความพร้อมทั้งด้านกระบวนการ เครื่องมือ และบุคลากร เพื่อรองรับยุคที่ AI สามารถช่วยค้นหาช่องโหว่ในซอฟต์แวร์ได้ในปริมาณมากและรวดเร็วมากขึ้น แม้เทคโนโลยีดังกล่าวจะช่วยเพิ่มความปลอดภัยในระยะยาว แต่ในระยะสั้นอาจทำให้หน่วยงานต้องรับมือกับช่องโหว่จำนวนมากขึ้น และจำเป็นต้องมีระบบบริหารจัดการช่องโหว่ที่มีประสิทธิภาพ
แหล่งอ้างอิง
[1] https://dg.th/phcuxbn6qz
[2] https://dg.th/3do0i2a4ml
[3] https://dg.th/cozn1kgx6q
[4] https://dg.th/xd7f2a3phm
29/05/2026
เตือนภัย! เทคนิคการปลอมผลลัพธ์จาก AI Chatbot และ Search Engine นำไปสู่การติดตั้งมัลแวร์อันตราย
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานเตือนภัยเทคนิคการปลอมผลลัพธ์จาก AI Chatbot และ Search Engine นำไปสู่การติดตั้งมัลแวร์อันตราย ผู้ใช้งานควรเพิ่มความระมัดระวังในการใช้งานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยเกี่ยวกับการโจมตีที่อาศัยการปลอมแปลงผลลัพธ์จาก AI Chatbot และ Search Engine เพื่อนำผู้ใช้งานไปยังเว็บไซต์อันตราย ซึ่งมีการติดตั้งโปรแกรมควบคุมและมัลแวร์ขุดเหรียญดิจิทัล (Cryptojacking Malware) ภายในระบบของเหยื่อ โดยผู้โจมตีใช้เครื่องมือที่ถูกต้องตามกฎหมาย เช่น ScreenConnect และโปรแกรมบน Microsoft .NET เพื่อหลีกเลี่ยงการตรวจจับและสร้างความน่าเชื่อถือในการโจมตี ผู้ใช้งานควรเฝ้าระวังและดำเนินมาตรการป้องกันโดยเร่งด่วน
1. รายละเอียด [1]
Microsoft ได้เปิดเผยการตรวจพบแคมเปญการโจมตีที่ใช้เทคนิค Search Engine Optimization (SEO) Poisoning และการปลอมแปลงคำแนะนำจาก AI Chatbot [2] เพื่อหลอกล่อให้ผู้ใช้งานดาวน์โหลดโปรแกรมจากเว็บไซต์ปลอมที่เลียนแบบเว็บไซต์ซอฟต์แวร์หรือเครื่องมือยอดนิยม โดยไฟล์ที่ดาวน์โหลดอาจมีการติดตั้งเครื่องมือสำหรับเข้าถึงระบบ เช่น ScreenConnect รวมถึงใช้โปรแกรม Microsoft .NET utilities และ PowerShell เพื่อดาวน์โหลดและติดตั้งมัลแวร์ เพื่อใช้ทรัพยากรของเครื่องเหยื่อในการขุดเหรียญดิจิทัล (Cryptocurrency Mining) หรือที่เรียกว่า Cryptojacking ซึ่งอาจส่งผลให้ระบบทำงานช้าลง ใช้ทรัพยากร CPU และ GPU สูงผิดปกติ รวมถึงอาจเปิดช่องให้ผู้โจมตีสามารถเข้าควบคุมระบบของเหยื่อได้ในระยะยาว
2. รูปแบบการโจมตี
ผู้โจมตีมีรูปแบบการดำเนินการ ดังนี้
2.1 สร้างเว็บไซต์ปลอมที่เลียนแบบเว็บไซต์ดาวน์โหลดซอฟต์แวร์หรือบริการที่ได้รับความนิยม
2.2 ใช้เทคนิค SEO Poisoning หรืออาศัยการปั่นผลลัพธ์ให้ AI Chatbot แนะนำลิงก์ปลอมแก่ผู้ใช้งาน
2.3 หลอกให้เหยื่อดาวน์โหลดไฟล์ติดตั้งหรือเรียกใช้สคริปต์อันตราย
2.4 ติดตั้งโปรแกรม ScreenConnect หรือเครื่องมือ Remote Access ภายในเครื่องเหยื่อ
2.5 ใช้ PowerShell และ Microsoft .NET utilities เพื่อดาวน์โหลด Payload เพิ่มเติม
2.6 ติดตั้งมัลแวร์ขุดเหรียญดิจิทัลและสร้าง Persistence เพื่อให้มัลแวร์ทำงานต่อเนื่องหลังรีบูตระบบ
2.7 ใช้ทรัพยากร CPU และ GPU ของเครื่องเหยื่อสำหรับการขุด Cryptocurrency รวมถึงอาจใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่นภายในองค์กร
3. แนวทางการแก้ไข
3.1 ตรวจสอบการติดตั้งโปรแกรม ScreenConnect ภายในองค์กรว่ามีการติดตั้งโดยไม่ได้รับอนุญาตหรือไม่
3.2 ตรวจสอบ Scheduled Tasks, Startup Items, Services และ Registry Keys ที่อาจถูกใช้สร้าง Persistence
3.3 ตรวจสอบการใช้งาน PowerShell และโปรแกรม Microsoft .NET utilities ที่มีพฤติกรรมผิดปกติ
3.4 เฝ้าระวังการใช้งาน CPU และ GPU สูงผิดปกติบนเครื่องแม่ข่ายและเครื่องผู้ใช้งาน
3.5 ตรวจสอบการเชื่อมต่อเครือข่ายไปยังโดเมนหรือ IP Address ที่ไม่รู้จัก
3.6 อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และโปรแกรมป้องกันมัลแวร์ให้เป็นเวอร์ชันล่าสุด
3.7 จำกัดสิทธิ์การติดตั้งโปรแกรมของผู้ใช้งานทั่วไปภายในองค์กร
3.8 บล็อกการเข้าถึงเว็บไซต์หรือโดเมนที่เกี่ยวข้องกับการแพร่กระจายมัลแวร์
3.9 จัดทำระบบสำรองข้อมูล (Backup) และทดสอบการกู้คืนข้อมูลอย่างสม่ำเสมอ
4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
4.1 ควรดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการของผู้พัฒนาเท่านั้น
4.2 หลีกเลี่ยงการดาวน์โหลดโปรแกรมจากลิงก์ที่ได้รับผ่าน AI Chatbot หรือ Search Engine โดยไม่ตรวจสอบความถูกต้องของโดเมน
4.3 ตรวจสอบ URL และใบรับรองเว็บไซต์ก่อนดาวน์โหลดไฟล์ทุกครั้ง
4.4 ใช้งานระบบ Endpoint Detection and Response (EDR) หรือระบบตรวจจับภัยคุกคามเพื่อเฝ้าระวังพฤติกรรมผิดปกติ
4.5 กำหนดนโยบายควบคุมการใช้งาน PowerShell และ Script Ex*****on ภายในองค์กร
4.6 เฝ้าระวังการใช้งานทรัพยากรเครื่องผิดปกติ เช่น CPU หรือ GPU Usage สูงอย่างต่อเนื่อง
4.7 จัดอบรมสร้างความตระหนักรู้ด้านภัยคุกคามไซเบอร์แก่ผู้ใช้งานภายในองค์กรอย่างสม่ำเสมอ
แหล่งอ้างอิง
[1] https://dg.th/qn9e2lucym
[2] https://dg.th/k5jh6e3li2
29/05/2026
📢[⚪️⚪️⚪️] JINX-0164 มุ่งเป้าบริษัทคริปโต ผ่านแคมเปญหลอกสมัครงานและมัลแวร์บน macOS
นักวิจัยจาก Wiz รายงานการโจมตีของกลุ่มภัยคุกคามที่ติดตามในชื่อ JINX-0164 ซึ่งมุ่งเป้าไปยังองค์กรด้านคริปโตเคอร์เรนซี โดยใช้เทคนิค Social Engineering ผ่าน LinkedIn หรือการแอบอ้างเป็นนายหน้า คู่ค้าทางธุรกิจ เพื่อชักชวนเหยื่อเข้าร่วมประชุมออนไลน์ ก่อนนำไปยังโดเมนปลอมที่เลียนแบบบริการประชุมไกล และหลอกให้ดาวน์โหลดไฟล์อันตรายบน macOS
เมื่อเหยื่อรันไฟล์ดังกล่าว ระบบจะดาวน์โหลดมัลแวร์ macOS ที่ Wiz เรียกว่า AUDIOFIX ซึ่งเป็นมัลแวร์ประเภท infostealer และ Remote Access Trojan (RAT) ที่พัฒนาด้วย Python โดยสามารถขโมยข้อมูลสำคัญ เช่น ข้อมูลจาก password manager, macOS Keychain, browser credentials, SSH keys, configuration files, session ของแอปสื่อสาร และข้อมูลที่เกี่ยวข้องกับกระเป๋าเงินคริปโต รวมถึงสามารถรันคำสั่งจากระยะไกลและดึง payload เพิ่มเติมจากเซิร์ฟเวอร์ภายนอกได้
รายงานยังระบุว่า JINX-0164 ไม่ได้มุ่งขโมยข้อมูลจากเครื่องผู้ใช้เพียงอย่างเดียว แต่ยังพยายามเคลื่อนย้ายภายในระบบไปยังโครงสร้างพื้นฐานด้านการพัฒนา เช่น ระบบกระจายโค้ดและ CI/CD infrastructure โดยในบางกรณีมีการแก้ไข source code หรือฝัง payload ลงใน repository เพื่อให้เครื่องของนักพัฒนารายอื่นติดมัลแวร์เมื่อดึงโค้ดไปใช้งาน นอกจากนี้ กลุ่มดังกล่าวยังเคยเกี่ยวข้องกับกรณี supply chain ผ่านแพ็กเกจ npm -dex/sdk เวอร์ชันที่ถูกฝังโค้ดอันตรายเพื่อดาวน์โหลดมัลแวร์ MiniRAT เพิ่มเติม
แหล่งข่าว [ https://dg.th/p4mkow3ibr ]
JINX-0164 Targets Cryptocurrency Firms with Fake Recruiter Lures and macOS Malware
JINX-0164 targeted cryptocurrency organizations using recruitment-themed social engineering and custom macOS malware to steal digital assets.
29/05/2026
📢[⚪️⚪️⚪️] ตำรวจเนเธอร์แลนด์จับกุมผู้ต้องสงสัยเกี่ยวข้องกับเหตุแฮกระบบสโมสรฟุตบอล Ajax
ตำรวจแห่งชาติเนเธอร์แลนด์จับกุมชายอายุ 35 ปี ในข้อหาต้องสงสัยว่าเกี่ยวข้องกับการบุกรุกระบบคอมพิวเตอร์ของสโมสรฟุตบอล Ajax Amsterdam หรือ AFC Ajax หลายครั้ง เมื่อต้นปี 2569 โดยตำรวจระบุว่า ผู้ต้องสงสัยได้เข้าถึงระบบคอมพิวเตอร์ของสโมสรโดยมิชอบ และหลังจากได้รับแจ้งเหตุ เจ้าหน้าที่ฝ่ายสืบสวนได้เริ่มดำเนินการสอบสวนจนสามารถระบุตัวผู้ต้องสงสัยรายดังกล่าวได้
ก่อนหน้านี้ AFC Ajax ได้เปิดเผยเหตุการณ์ดังกล่าวเมื่อช่วงปลายเดือนมีนาคม โดยระบุว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ในระบบ IT ของสโมสร เพื่อเข้าถึงข้อมูลของบุคคลหลายร้อยราย นอกจากนี้ ช่องโหว่ดังกล่าวยังอาจถูกใช้เพื่อแก้ไขรายชื่อบุคคลที่ถูกสั่งห้ามเข้าสนามจำนวนไม่ถึง 20 ราย และโอนตั๋วที่ซื้อไว้ไปยังบุคคลอื่นได้ ขณะที่รายงานจาก RTL ระบุว่า ช่องโหว่เดียวกันยังเปิดให้เข้าถึงข้อมูลแฟนบอลผ่าน API และ Shared Key โดยผู้โจมตีสามารถแสดงให้เห็นถึงความสามารถในการโอนสิทธิ์ตั๋วปีแบบ VIP ได้ภายในเวลาไม่กี่วินาที
รายงานยังระบุด้วยว่า ผู้โจมตีสามารถแสดงให้เห็นถึงความเป็นไปได้ในการแก้ไขข้อมูลการห้ามเข้าสนามของแฟนบอลจำนวน 538 ราย จัดการตั๋วปีประมาณ 42,000 ใบ และดูรายละเอียดบัญชีผู้ใช้งานมากกว่า 300,000 บัญชี ทั้งนี้ สโมสร Ajax ได้ดำเนินการแก้ไขช่องโหว่ที่ถูกใช้ในการโจมตีแล้ว พร้อมแจ้งเหตุการณ์ต่อหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของเนเธอร์แลนด์และตำรวจเพื่อดำเนินการตามขั้นตอนที่เกี่ยวข้องต่อไป
แหล่งข่าว [ https://dg.th/wfxs46gb9i ]
Dutch police arrests suspect linked to Ajax football club hack
The Dutch National Police arrested a 35-year-old man suspected of hacking the professional football club Ajax Amsterdam (AFC Ajax) earlier this year.
29/05/2026
📢[⚪️⚪️⚪️] ศาลสหรัฐฯ ตัดสินจำคุกแฮกเกอร์ชาวโรมาเนียเกือบ 5 ปี ฐานลักลอบเจาะระบบเครือข่ายหน่วยงานรัฐ
กระทรวงยุติธรรมสหรัฐอเมริกา (DoJ) แถลงผลการตัดสินจำคุกแฮกเกอร์ชาวโรมาเนียวัย 45 ปี เป็นเวลา 4 ปี 8 เดือน พร้อมทั้งให้คุมประพฤติต่ออีก 3 ปี ซึ่งโทษดังกล่าวสืบเนื่องมาจากการลักลอบเจาะเข้าระบบเครือข่ายของหน่วยงานจัดการเหตุฉุกเฉินแห่งรัฐโอเรกอนในปี 2564 รวมถึงการโจมตีทางไซเบอร์ต่อเหยื่อรายอื่น ๆ ในสหรัฐอเมริกา เหตุการณ์นี้สะท้อนให้เห็นถึงผลกระทบที่เกิดจากการเข้าถึงเครือข่ายของผู้อื่นโดยมิชอบ รวมถึงหน่วยงานบังคับใช้กฎหมายระดับสากลมีการดำเนินการจริงในการติดตามตัวอาชญากรไซเบอร์ข้ามชาติ นำมาดำเนินคดีเพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญของประเทศอย่างเด็ดขาด
สำหรับพฤติการณ์ของการโจมตีนั้น มีรายงานว่าผู้ก่อเหตุสามารถลักลอบเข้าถึงสิทธิ์ผู้ดูแลระบบของเครือข่ายหน่วยงานรัฐได้ตั้งแต่เดือนมิถุนายน 2564 จากนั้นได้นำสิทธิ์การเข้าถึงดังกล่าว ไปประกาศขายในตลาดมืดและตกลงซื้อขายกันด้วยสกุลเงินดิจิทัลบิตคอยน์มูลค่า 3,000 ดอลลาร์สหรัฐฯ โดยผู้ก่อเหตุได้ทำการเข้าสู่ระบบซ้ำหลายครั้ง เพื่อพิสูจน์ว่าตนสามารถควบคุมระบบได้จริง พร้อมทั้งนำข้อมูลส่วนบุคคลที่ระบุตัวตนได้ (PII) บางส่วนออกมาเพื่อเป็นตัวอย่างให้กับผู้ที่สนใจซื้อสิทธิ์ นอกจากนี้ การกระทำของเขายังสร้างความเสียหายแก่เครือข่ายขององค์กรอื่น ๆ รวมมูลค่ากว่า 250,000 ดอลลาร์สหรัฐฯ ในช่วงเวลาไล่เลี่ยกัน ทางการสหรัฐฯ ยังได้ดำเนินคดีกับแฮกเกอร์ชาวโรมาเนียอีกราย ที่ถูกส่งตัวผู้ร้ายข้ามแดนจากคดีเจาะระบบโทรศัพท์ VoIP เพื่อหลอกลวงทางการเงิน ซึ่งตอกย้ำถึงปัญหาการโจมตีที่หลากหลายและการกวาดล้างกลุ่มผู้ไม่หวังดีอย่างต่อเนื่อง
จากเหตุการณ์ดังกล่าว แสดงให้เห็นถึงความเสี่ยงที่เกิดจากการลักลอบซื้อขายช่องทางการเข้าถึงระบบหรือสิทธิ์การดูแลระบบ ซึ่งเป็นภัยคุกคามที่พบได้บ่อยในปัจจุบัน ผู้ดูแลระบบขององค์กรและหน่วยงานต่าง ๆ ควรเร่งทบทวนและยกระดับมาตรการความมั่นคงปลอดภัย โดยเฉพาะการบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับการเข้าถึงบัญชีผู้ดูแลระบบและระบบที่สำคัญทั้งหมด พร้อมทั้งตรวจสอบบันทึกการเข้าใช้งาน (Log) อย่างสม่ำเสมอเพื่อตรวจจับพฤติกรรมที่ผิดปกติ นอกจากนี้ องค์กรควรพิจารณาการแบ่งแยกเครือข่าย (Network Segmentation) และการเข้ารหัสข้อมูลที่ละเอียดอ่อน เพื่อจำกัดขอบเขตความเสียหายและป้องกันการรั่วไหลของข้อมูลก่อนที่จะถูกโจมตี
แหล่งข่าว [ https://dg.th/b6f4xjhpei ]
Romanian Hacker Gets Nearly 5 Years in US Prison Over Network Intrusion
Romanian hacker Catalin Dragomir (45) got 4 years and 8 months in prison for selling access to an Oregon state network.
29/05/2026
เตือนภัยสายไถฟีด! ระวังตกเป็นเหยื่อ "ลิงก์ผี" พรางตัวเกลื่อนไทม์ไลน์ 📱🚨
กลุ่มมิจฉาชีพสร้างเนื้อหาที่มีความน่าเชื่อถือ เพื่อหลอกให้ผู้ใช้งานคลิกลิงก์อันตรายที่แอบแฝงอยู่ ซึ่งหากหลงเชื่อ อาจนำไปสู่การถูกโจรกรรมข้อมูลส่วนบุคคล ข้อมูลทางการเงิน หรือถูกนำทางไปยังเว็บไซต์การพนันออนไลน์
👻"ลิงก์ผี" หรือลิงก์ปลอม มักแฝงตัวมาในรูปแบบไหน?
1. ไลฟ์สด ไม่ว่าจะเป็นการวนคลิปไลฟ์หลอกแจกรางวัล ขายสินค้าราคาถูกผิดปกติ หรือ คลิปหลุด...รีบดูก่อนโดนลบ เพื่อกระตุ้นความอยากรู้อยากเห็น ทำให้ประชาชนรีบคลิกลิงก์ในคอมเมนต์ ซึ่งจะนำไปสู่หน้าเว็บไซต์เพื่อเก็บข้อมูลส่วนตัวหรือข้อมูลทางการเงิน
2. โพสต์ข่าวปลอม มิจฉาชีพมักอาศัยกระแสข่าวดังมาสร้างโพสต์ข่าวปลอมดึงดูดความสนใจ เมื่อผู้ใช้งานกดลิงก์เพื่ออ่านข่าวฉบับเต็ม จะถูกพาไปยังหน้าเว็บไซต์ปลอมที่สร้างขึ้นมาอย่างแนบเนียน เพื่อหลอกให้กรอกรหัสผ่านก่อนเข้าอ่านข่าว ซึ่งแท้จริงแล้วคือกลลวงในการดักขโมยข้อมูลสำคัญ
3. คลิปวิดีโอที่กำลังฮิต เช่น ละครสั้นแนวตั้ง มีมตลก เทรนด์ หรือชาเลนจ์ต่าง ๆ ดึงดูดความสนใจ ตัดจบฉากสำคัญ หรือแอบอ้างว่าเป็น คลิปต้นฉบับแบบไม่เซนเซอร์ หากต้องการดูต่อจะต้องคลิกลิงก์ที่แนบไว้ในคอมเมนต์ ซึ่งลิงก์เหล่านี้คือกับดักที่อาจพาไปสู่เว็บไซต์การพนันออนไลน์ หลอกให้จ่ายเงินฟรี ๆ หรือร้ายแรงถึงขั้นถูกฝังไวรัสมัลแวร์ดูดข้อมูลส่วนตัวได้
4. มิจฉาชีพจะสร้างเรื่องหลอกให้ตกใจกลัว เช่น อ้างว่ามีหมายศาล บัญชีถูกอายัด ขู่แบล็กเมลอ้างถึงภาพหลุด และภาพโป๊เปลือยลงสู่สาธารณะ หรือพัวพันสิ่งผิดกฎหมาย เพื่อกดดันให้สับสนจนเผลอกดลิงก์ปลอม โดยไม่ทันระวังตัว เมื่อกดลิงก์แล้วส่งผลให้อาจโดนฝังมัลแวร์ ดูดข้อมูลส่วนตัว และถูกหลอกโอนเงินเกลี้ยงบัญชีแบบไม่ทันตั้งตัว
⚠️เทคนิคสุดอันตราย ลิงก์เดียวกัน แต่เห็นคนละแบบ
ผู้ใช้งานจะเห็นหน้าเว็บไซต์ที่ปกติ แต่มิจฉาชีพจะควบคุมระบบหลังบ้าน เพื่อดักจับข้อมูลส่วนตัว ข้อมูลทางการเงิน หรือหลอกให้โอนเงิน
🛡️วิธีป้องกันตัวเองจากลิงก์อันตราย
1.อย่ากดลิงก์ จาก Bio หรือคอมเมนต์ของบัญชีที่ไม่น่าเชื่อถือ
2.ตรวจสอบชื่อเว็บไซต์ (URL) ทุกครั้งก่อนตัดสินใจกรอกข้อมูล
3.หลีกเลี่ยงการกรอกข้อมูลส่วนตัว หรือข้อมูลบัตรเครดิต/เดบิต เด็ดขาด
4.เช็กให้ชัวร์ สามารถตรวจสอบข้อมูลมิจฉาชีพได้ที่ checkgon.go.th หรือ fake-check.ncsa.or.th
🆘หากพบการหลอกลวงสามารถแจ้งเหตุได้ที่
- แจ้งความออนไลน์ได้ที่ thaipoliceonline.go.th
- โทรสายด่วน AOC 1441 ตลอด 24 ชั่วโมง
#เตือนภัยมิจฉาชีพ #ลิงก์ปลอม #ลิงก์ผี #เช็กก่อนคลิก #อย่าหลงเชื่อ #แบล็กเมล #ละครแนวตั้ง
29/05/2026
🛑 เตือนภัย แฮกเกอร์ใช้เทคนิค MFA Prompt Bombing หลอกให้กดยืนยันตัวตน เสี่ยงถูกยึดบัญชีและเข้าถึงระบบ
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์เกี่ยวกับเทคนิค MFA Prompt Bombing หรือ MFA Fatigue ด้วยการส่งคำขอยืนยันตัวตน (MFA) แบบ Push Notification ไปยังโทรศัพท์มือถือของเหยื่อซ้ำ ๆ อย่างต่อเนื่อง เพื่อสร้างความรำคาญและหลอกให้ผู้ใช้งานกด "ยอมรับ” (Approve) ซึ่งหากกดยอมรับไปแล้ว แฮกเกอร์ (ซึ่งมีรหัสผ่านที่ถูกต้องอยู่ก่อนแล้วจากการรั่วไหลของข้อมูล) จะสามารถเข้าสู่ระบบเครือข่ายภายในองค์กร และขโมยข้อมูลสำคัญได้ทันที การโจมตีมุ่งเป้าไปที่ผู้ใช้งานและหน่วยงานที่ใช้ระบบยืนยันตัวตนแบบกดปุ่มแจ้งเตือนผ่านแอปพลิเคชัน (Push-based MFA) เช่น ระบบ VPN, บริการ Cloud, Microsoft 365 หรือระบบ Single Sign-On ต่าง ๆ [1]
1. รายละเอียดภัยคุกคาม
การโจมตีแบบ MFA Prompt Bombing (หรือ MFA Fatigue) เป็นการโจมตีทางจิตวิทยา (Social Engineering) รูปแบบหนึ่ง ผู้โจมตีจะเริ่มต้นจากการหาบัญชีและรหัสผ่านที่ถูกต้องของเหยื่อ (เช่น จากรหัสผ่านที่เคยรั่วไหล หรือมัลแวร์ขโมยข้อมูล) เพื่อใช้ล็อกอินเข้าสู่ระบบขององค์กร
เมื่อระบบต้องการการยืนยันตัวตนชั้นที่ 2 แฮกเกอร์จะทำการกดยกเลิกและล็อกอินใหม่ซ้ำ ๆ ทำให้ระบบส่งแจ้งเตือน (Push Notification) ไปยังแอปพลิเคชันบนมือถือของเหยื่ออย่างต่อเนื่องจนเหยื่อเกิดความสับสน รำคาญ หรือคิดว่าระบบมีปัญหา บางกรณีแฮกเกอร์อาจโทรศัพท์หลอกลวง (Vishing) โดยอ้างตัวเป็นฝ่าย IT ขององค์กร เพื่อโน้มน้าวให้เหยื่อกดยืนยัน หากเหยื่อกด "ยอมรับ" เพียงครั้งเดียว แฮกเกอร์จะสามารถเข้ายึดระบบได้ทันที
2. ลักษณะการโจมตี
ผู้โจมตีจะเริ่มจากการนำข้อมูลบัญชีที่ถูกต้องไปทดลองเข้าสู่ระบบ เช่น VPN หรือบริการ Cloud ของหน่วยงาน เมื่อระบบส่งคำขอ MFA แบบ Push ไปยังอุปกรณ์ของผู้ใช้งาน ผู้โจมตีจะกดเข้าสู่ระบบซ้ำ ๆ เพื่อให้เกิดคำขออนุมัติจำนวนมาก หากเหยื่อกดยืนยันเพียงครั้งเดียว ผู้โจมตีจะสามารถเข้าสู่ระบบในฐานะผู้ใช้งานรายนั้นได้ และระบบรักษาความปลอดภัยอาจมองว่าเป็นการเข้าสู่ระบบที่ถูกต้องตามปกติ
ตัวอย่างของการโจมตีด้วยเทคนิคนี้คือ เหตุการณ์ Cisco ในปี พ.ศ.2565 กลุ่มแฮกเกอร์ Yanluowang ได้ใช้เทคนิคนี้ร่วมกับการโทรหลอกลวงพนักงานของ Cisco จนพนักงานเผลอกดยืนยัน MFA ส่งผลให้แฮกเกอร์เจาะเข้าสู่ระบบ VPN เคลื่อนย้ายเข้าสู่เซิร์ฟเวอร์ภายใน และขโมยข้อมูลออกไปได้ถึง 2.75 GB [2]
3. ผลกระทบ
3.1 ผู้โจมตีสามารถยึดบัญชีผู้ใช้งานได้ หากเหยื่อกดยืนยันคำขอ MFA ที่ไม่ได้เป็นผู้เริ่มต้นเอง
3.2 ผู้โจมตีอาจเข้าถึงระบบภายในหน่วยงาน เช่น VPN, ระบบ Cloud, อีเมลหน่วยงาน หรือระบบ Identity Provider
3.3 การเข้าสู่ระบบอาจถูกมองว่าเป็นกิจกรรมที่ถูกต้อง เนื่องจากใช้รหัสผ่านและ MFA ที่ผ่านการอนุมัติจริง ทำให้การตรวจจับทำได้ยากขึ้น
3.4 ผู้โจมตีอาจลงทะเบียนอุปกรณ์ MFA เพิ่มเติม เพื่อรักษาสิทธิ์เข้าถึงระบบในระยะยาว
3.5 อาจนำไปสู่การยกระดับสิทธิ์ การเคลื่อนย้ายภายในเครือข่าย และการขโมยข้อมูลสำคัญของหน่วยงาน
4. ระบบหรือบริการที่มีความเสี่ยง
4.1 ระบบ VPN ที่ใช้ MFA แบบ Push Notification
4.2 บริการ Cloud และระบบอีเมลหน่วยงาน เช่น Microsoft 365
4.3 ระบบ Identity Provider หรือ SSO เช่น Okta, Duo หรือระบบที่มีลักษณะใกล้เคียง
4.4 ระบบ Remote Access, RDP หรือระบบสำหรับผู้ดูแลระบบที่ยังใช้ Push-based MFA เป็นปัจจัยยืนยันตัวตนหลัก
4.5 หน่วยงานที่ยังไม่มีการตรวจจับรหัสผ่านที่รั่วไหล หรือยังไม่มีนโยบาย Conditional Access ที่พิจารณาความเสี่ยงจากตำแหน่งที่ตั้ง อุปกรณ์ เวลา และพฤติกรรมการเข้าสู่ระบบ
5. แนวทางการแก้ไขและป้องกัน
5.1 หลีกเลี่ยงการใช้ MFA แบบ Push-only กับระบบสำคัญ โดยพิจารณาใช้วิธีที่ต้านทาน Phishing และ MFA Fatigue มากขึ้น
5.2 เปิดใช้งาน Number Matching สำหรับแอป Authenticator เพื่อลดความเสี่ยงจากการกดยืนยันผิดพลาด
5.3 ใช้นโยบาย Conditional Access โดยพิจารณาจากปัจจัยเสี่ยง เช่น ประเทศหรือพื้นที่ที่เข้าสู่ระบบ สถานะอุปกรณ์ เวลาในการเข้าสู่ระบบ และพฤติกรรมที่ผิดปกติ
5.4 ตรวจสอบและบล็อกรหัสผ่านที่เคยรั่วไหล โดยเฉพาะบัญชีใน Active Directory และบัญชีที่ใช้เข้าถึงระบบสำคัญ
5.5 กำหนดให้ผู้ใช้งานรายงานทันทีเมื่อได้รับคำขอ MFA ที่ไม่ได้เป็นผู้เริ่มต้นเอง และห้ามกดยืนยันคำขอดังกล่าว
5.6 เฝ้าระวังเหตุการณ์ MFA ผิดปกติ เช่น การส่ง Push Notification จำนวนมากในช่วงเวลาสั้น ๆ การเข้าสู่ระบบจากประเทศที่ไม่เคยใช้งาน หรือการเพิ่มอุปกรณ์ MFA ใหม่โดยไม่ทราบสาเหตุ
5.7 จัดอบรมผู้ใช้งานให้รู้จักเทคนิค MFA Prompt Bombing และ Vishing โดยเน้นว่าฝ่าย IT ไม่ควรขอให้ผู้ใช้งานกดยืนยัน MFA ที่ไม่ได้เป็นผู้เริ่มต้นเอง
5.8 จำกัดสิทธิ์การเข้าถึงตามหลัก Least Privilege และตรวจสอบบัญชีผู้ดูแลระบบอย่างสม่ำเสมอ เพื่อลดผลกระทบหากบัญชีถูกยึด
แหล่งอ้างอิง
[1] https://dg.th/vl2857gubw
[2] https://dg.th/94krhgesmc
28/05/2026
พบการแพร่กระจายมัลแวร์ Deno RAT ผ่านซอฟต์แวร์ปลอมและปลั๊กอินปลอม
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบแคมเปญโจมตีทางไซเบอร์ที่ใช้ซอฟต์แวร์ปลอมและปลั๊กอินปลอมที่แอบอ้างเป็นซอฟต์แวร์ยอดนิยม เช่น ChatGPT, Claude, AutoTune และ Kontakt บน GitHub และ SourceForge [1]
1. รายละเอียดเหตุการณ์
แคมเปญการโจมตีดังกล่าวมีการใช้มัลแวร์ชื่อ “DinDoor” ซึ่งจัดอยู่ในประเภท Backdoor และ Remote Access Trojan (RAT) โดยพัฒนาบน Deno Runtime ซึ่งเป็น JavaScript Runtime ที่กำลังได้รับความนิยมในกลุ่มผู้โจมตีทางไซเบอร์ เนื่องจากสามารถช่วยหลีกเลี่ยงการตรวจจับจากระบบป้องกันความปลอดภัยได้มีประสิทธิภาพมากยิ่งขึ้น
รูปแบบการโจมตีเริ่มจากผู้โจมตีสร้าง Repository ปลอมบนแพลตฟอร์ม GitHub และ SourceForge พร้อมอัปโหลดไฟล์ติดตั้งประเภท MSI หรือ PowerShell Script ที่ฝังคำสั่งอันตรายไว้ เมื่อผู้ใช้งานเผลอเปิดหรือรันไฟล์ดังกล่าว ระบบจะทำการติดตั้ง Deno Runtime ผ่านเครื่องมือ Scoop หรือ WinGet จากนั้นจะดาวน์โหลดและเรียกใช้งานมัลแวร์ DinDoor บนอุปกรณ์ของเหยื่อ ส่งผลให้ผู้โจมตีสามารถเข้าควบคุมระบบและดำเนินกิจกรรมที่เป็นอันตรายต่อระบบและข้อมูลได้
2. ผลกระทบที่อาจเกิดขึ้น
2.1 เข้าควบคุมระบบ
2.2 ดาวน์โหลดและรัน Payload
2.3 ขโมยข้อมูลจาก Web Browser
2.4 ขโมยข้อมูลกระเป๋าเงินดิจิทัล (Crypto Wallet)
2.5 เข้าถึงข้อมูลส่วนบุคคล รวมถึง ปลอมแปลง Session
3. ช่องทางการแพร่กระจาย
การแพร่กระจายของมัลแวร์จะเริ่มต้นผ่านไฟล์ MSI หรือ สคริปต์ PowerShell ที่ดาวน์โหลดจาก GitHub หรือ SourceForge โดยผู้ใช้มักถูกเปลี่ยนเส้นทางไปยังแหล่งเก็บข้อมูลที่เป็นอันตรายเหล่านี้ผ่านช่อง YouTube
ทั้งนี้หน่วยงานสามารถตรวจสอบ Indicators of Compromise (IOCs) ได้ที่ https://dg.th/tagpiork2l
4. คำแนะนำและมาตรการป้องกัน
4.1 ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการเท่านั้น
4.2 หลีกเลี่ยงการใช้งานซอฟต์แวร์ Crack หรือปลั๊กอินจากแหล่งที่ไม่น่าเชื่อถือ
4.3 ห้ามคัดลอกและรัน PowerShell Command จากเว็บไซต์หรือวิดีโอที่ไม่ทราบแหล่งที่มา
4.4 ตรวจสอบ Digital Signature ของไฟล์ก่อนติดตั้ง
5. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
5.1 จำกัดสิทธิ์การติดตั้งโปรแกรมของผู้ใช้งานทั่วไป เพื่อลดความเสี่ยงจากการติดตั้งซอฟต์แวร์อันตราย
5.2 ปิดกั้นการใช้งาน PowerShell Script ที่ไม่ได้รับอนุญาต หรือกำหนด Ex*****on Policy ให้เหมาะสม
5.3 เฝ้าระวังการดาวน์โหลดไฟล์จาก GitHub, SourceForge และเว็บไซต์แชร์ไฟล์ที่ไม่เป็นทางการ โดยเฉพาะไฟล์ประเภท .msi, .ps1, .bat และ .zip
5.4 ตรวจสอบและบล็อกการติดตั้ง Deno Runtime หรือเครื่องมือที่เกี่ยวข้อง เช่น Scoop และ WinGet
แหล่งอ้างอิง
[1] https://dg.th/ruewzmyag9
28/05/2026
พบช่องโหว่ใน Microsoft SharePoint Server ให้ผู้ดูแลระบบเร่งอัปเดต Patch ทันที
ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงาน Microsoft ได้เผยแพร่การอัปเดต Patch เพื่อแก้ไขช่องโหว่ในระบบ Microsoft SharePoint Server ซึ่งองค์กรที่ใช้งานระบบดังกล่าว มีความเสี่ยงที่จะถูกผู้โจมตีเข้ายึดเซิร์ฟเวอร์ ขโมยข้อมูล หรือโจมตีด้วยมัลแวร์เรียกค่าไถ่ได้ จึงขอให้ทำการตรวจสอบและอัปเดตแพตช์ล่าสุดทันที [1]
1. รายละเอียดช่องโหว่
ช่องโหว่รหัส CVE-2026-45659 มีความเสี่ยงระดับสูง (CVSS v3.1: 8.8 ) เกิดจากปัญหาการประมวลผลข้อมูลที่ไม่ปลอดภัย (Deserialization of Untrusted Data) ภายใน Microsoft SharePoint Server ซึ่งเป็นข้อผิดพลาดในการตรวจสอบข้อมูลที่รับเข้ามาในระบบ โดยแฮกเกอร์ที่มีบัญชีผู้ใช้งานทั่วไป (เข้าสู่ระบบแล้ว) จะสามารถเจาะผ่านช่องโหว่นี้โดยการส่งชุดคำสั่งพิเศษเข้าไปเพื่อหลอกระบบ ผลลัพธ์คือแฮกเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์เป้าหมายได้จากระยะไกล (Remote Code Ex*****on: RCE) เพื่อเข้าควบคุมเครื่องเซิร์ฟเวอร์ หรือใช้เป็นฐานเพื่อโจมตีระบบอื่น ๆ ในเครือข่ายต่อไปได้ [2]
2. เวอร์ชันที่ได้รับผลกระทบ
2.1 Microsoft SharePoint Server Subscription Edition
2.2 Microsoft SharePoint Server 2019
2.3 Microsoft SharePoint Enterprise Server 2016
3. แนวทางการแก้ไข
3.1 ติดตั้ง Security Update ล่าสุดจาก Microsoft สำหรับ SharePoint Server ทุกเวอร์ชันที่ได้รับผลกระทบ
3.2 ตรวจสอบให้แน่ใจว่าระบบได้รับการอัปเดต Patch ล่าสุดครบถ้วน รวมถึง Patch Cumulative Update
3.3 จำกัดสิทธิ์ของผู้ใช้งาน SharePoint
4. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
4.1 จำกัดการเข้าถึง SharePoint Server จากอินเทอร์เน็ตภายนอก
4.2 อนุญาตการเข้าถึงเฉพาะ VPN หรือเครือข่ายภายในองค์กร
4.3 จำกัดสิทธิ์ผู้ใช้งานและบัญชี Service Account ที่เกี่ยวข้องกับ SharePoint
4.4 เปิดใช้งาน Multi-Factor Authentication (MFA)
4.5 สำรองข้อมูลระบบและฐานข้อมูล SharePoint อย่างสม่ำเสมอ
แหล่งอ้างอิง
[1] https://dg.th/vacs9niokd
[2] https://dg.th/hlrgq5a4yw
29/05/2026
29/05/2026
29/05/2026
28/05/2026
28/05/2026