เปิดทำการกี่โมง?

จันทร์ 08:30 - 17:30 อังคาร 08:30 - 17:30 พุธ 08:30 - 17:30 พฤหัสบดี 08:30 - 17:30 ศุกร์ 08:30 - 17:30

BAYCOMS

Name: BAYCOMS
Address: Cosmo Office Park 6th Floor, 89 Popular 3 Road, Pak-Kred, Nonthaburi, 11120, TH
Telephone: +6621159956

Bay Computing Public Co., Ltd. At Bay Computing, we provide practical solutions with professionalism. Our solutions cover IT infrastructure (i.e. leasing).

(Head Office)
89 Cosmo Office Park, 6th Floor
Popular 3 Road, Pakkred, Nonthaburi
Thailand 11120
Contact Us: 02-115-9956
FaX: 02-115-1629
Web: www.baycoms.com Bay Computing Company Limited was established in 1996 by IT professionals who have more than a decade of experience in implementing IT solutions to leading corporates in Thailand. Bay Computing team emphasizes on technical expertise, service

mindedness, and quality project management in delivering the best results to its clients. data security, network security, end-point security), system integration and deployment, enterprise network, telecommunication
network, data center infrastructure and physical security (i.e. command and control center). Our services encompass consulting and professional services (i.e. technology and business policy consulting, vulnerability assessment, penetration testing, compliance
service), planning and implementation, system integration, after-sales support, project management, man-power outsourcing, and financial services (i.e.

22/04/2026

จุดเปลี่ยนครั้งสำคัญของวงการ Cybersecurity เมื่อ NIST ประกาศ "เลือก" วิเคราะห์ช่องโหว่ (CVE) เฉพาะที่วิกฤตเท่านั้น

ในโลกของความปลอดภัยทางไซเบอร์ ฐานข้อมูล NVD (National Vulnerability Database) ของสถาบัน NIST เปรียบเสมือนเข็มทิศหลักที่เหล่านักวิเคราะห์และผู้ดูแลระบบใช้เพื่อประเมินความเสี่ยง แต่ล่าสุดเข็มทิศนี้กำลังมีการเปลี่ยนแปลงครั้งใหญ่ที่ส่งผลกระทบต่อแนวทางการบริหารจัดการช่องโหว่ (Vulnerability Management) ของทุกองค์กรทั่วโลก

วิกฤต "ช่องโหว่ล้นมือ" เมื่อจำนวน CVE พุ่งสูงเกินต้านทาน

สาเหตุหลักของการเปลี่ยนแปลงนี้มาจากปริมาณรายงานช่องโหว่ (CVE) ที่ถูกส่งเข้ามาเพิ่มขึ้นอย่างมหาศาล มีข้อมูลสถิติระบุว่าในช่วงปี 2020 ถึง 2025 จำนวน CVE พุ่งสูงขึ้นถึง 263% และเฉพาะในช่วง 3 เดือนแรกของปี 2026 ปริมาณงานยังสูงกว่าปีที่แล้วถึง 1 ใน 3

แม้ในปี 2025 ที่ผ่านมา NIST จะเร่งสปีดจนสามารถวิเคราะห์ข้อมูลเชิงลึก (Enrichment) ได้มากถึง 42,000 รายการ (ซึ่งสูงที่สุดเป็นประวัติการณ์) แต่ก็ยังไม่ทันต่อจำนวนช่องโหว่ที่เกิดขึ้นใหม่ ทำให้เกิดปัญหา Backlog หรือรายการค้างคาจำนวนมาก

เกณฑ์ใหม่ "Risk-Based Prioritization" ใครคือกลุ่มที่ NIST จะให้ความสำคัญ

ตั้งแต่วันที่ 15 เมษายน 2026 เป็นต้นไป NIST จะไม่ทำการวิเคราะห์เพิ่มข้อมูล (Enrichment) ให้กับทุกช่องโหว่โดยอัตโนมัติอีกต่อไป แต่จะเลือกทำเฉพาะรายการที่เข้าเกณฑ์ "ความเสี่ยงเชิงระบบ" ดังนี้

1. CISA KEV List: ช่องโหว่ที่ปรากฏอยู่ในรายชื่อที่ยืนยันแล้วว่า "มีการถูกนำไปใช้โจมตีจริง"
2. Federal Software: ซอฟต์แวร์ที่ใช้งานภายในหน่วยงานรัฐบาลกลางสหรัฐฯ
3. Critical Software (ตามคำสั่ง EO 14028): ซอฟต์แวร์วิกฤตที่มีสิทธิ์การเข้าถึงสูง เช่น ระบบจัดการสิทธิ์ (Privileged Access), ระบบควบคุมเครือข่าย, ระบบที่คุมข้อมูลสำคัญ หรือระบบที่เกี่ยวข้องกับ Operational Technology (OT)

สำหรับช่องโหว่ที่ไม่เข้าเกณฑ์เหล่านี้ จะถูกติดป้ายสถานะว่า "Not Scheduled" (ไม่ได้กำหนดตารางเวลา) ซึ่งหมายความว่ามันจะยังคงมีชื่ออยู่ในฐานข้อมูล แต่จะไม่มีข้อมูลสำคัญอย่าง คะแนนความรุนแรง (CVSS), ประเภทจุดอ่อน (CWE) หรือรายชื่อซอฟต์แวร์ที่ได้รับผลกระทบ (CPE) จากทาง NIST

การเปลี่ยนแปลงที่สำคัญอื่นๆ ในการทำงานของ NVD

- ลดความซ้ำซ้อน: หากหน่วยงานผู้กำหนดหมายเลข (CNA) ให้คะแนนความรุนแรงมาอยู่แล้ว NIST จะไม่ทำคะแนนแยกออกมาอีกเพื่อความรวดเร็ว
- การวิเคราะห์ซ้ำ: จะเกิดขึ้นเฉพาะเมื่อมีการแก้ไขที่มี "ผลกระทบอย่างมีนัยสำคัญ" เท่านั้น
- เคลียร์ของเก่า: ช่องโหว่ที่ค้างอยู่ในระบบ (Backlog) ก่อนวันที่ 1 มีนาคม 2026 จะถูกย้ายไปหมวด "Not Scheduled" ทั้งหมด เว้นแต่จะอยู่ในรายชื่อ KEV ของ CISA
- ช่องทางพิเศษ: หากผู้ใช้เห็นว่าช่องโหว่ใดมีความสำคัญสูงแต่ถูกละเลย สามารถส่งอีเมลร้องขอได้ที่ nvd@nist[.]gov

มุมมองจากผู้เชี่ยวชาญ "ยุคสมัยของการทำแบบ Manual จบลงแล้ว"

Caitlin Condon จาก VulnCheck ให้ความเห็นว่า นี่คือการส่งสัญญาณว่าองค์กรต่างๆ จะพึ่งพาฐานข้อมูลเพียงแห่งเดียวไม่ได้อีกต่อไป เนื่องจากสภาพปัจจุบันต้องการการทำงานที่ "เร็วเท่าเครื่องจักร" (Machine-speed) และต้องใช้ Threat Intelligence เข้ามาช่วยตัดสินใจ

ในขณะที่ David Lindner จาก Contrast Security มองว่านี่คือจุดจบของยุคสมัยเก่า แต่เป็นจุดเริ่มต้นของการยกระดับอุตสาหกรรม ให้ผู้ดูแลระบบหันมาโฟกัสที่ "การเปิดรับความเสี่ยงที่เกิดขึ้นจริง" (Actual Exposure) แทนที่จะดูแค่คะแนนความรุนแรงในทางทฤษฎีเท่านั้น

บทสรุปสำหรับคนทำงานสาย Security

การประกาศของ NIST ในครั้งนี้คือเครื่องเตือนใจว่า "สิ่งที่เราไม่ให้ความสำคัญ ผู้โจมตีจะให้ความสำคัญแทนเราเสมอ" การปรับกลยุทธ์จากเดิมที่เน้นปิดทุกช่องโหว่ (Vulnerability-based) มาเป็นการเน้นช่องโหว่ที่มีความเสี่ยงต่อธุรกิจจริง (Risk-based) และการนำเครื่องมืออัตโนมัติมาใช้ จึงไม่ใช่ทางเลือกอีกต่อไป แต่เป็น "ทางรอด" ในปี 2026 นี้

Ref : https://thehackernews.com/2026/04/nist-limits-cve-enrichment-after-263.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com

12/04/2026

สุขสันต์วันสงกรานต์ ขอให้ทุกท่านมีแต่ความสุข สนุกสดใส สุขสำราญ เบิกบานใจ คลายทุกข์โศก ปลอดโรค และพ้นภัย โชคดี มีความสุขตลอดปี

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd.
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com
#สงกรานต์2569

11/04/2026

Storm-1175 เจาะลึกปฏิบัติการ "สายฟ้าแลบ" ของแฮกเกอร์จีนกับการแพร่ระบาดแรนซัมแวร์ Medusa

ในโลกไซเบอร์ปัจจุบัน ความเร็วคืออาวุธที่อันตรายที่สุด ล่าสุด Microsoft Threat Intelligence ได้เปิดเผยรายงานเกี่ยวกับกลุ่มแฮกเกอร์ "Storm-1175" ที่มีฐานปฏิบัติการอยู่ในประเทศจีน ซึ่งกำลังสร้างความสั่นสะเทือนไปทั่วโลกด้วยกลวิธีโจมตีแบบความเร็วสูง (High-velocity) เพื่อติดตั้งแรนซัมแวร์ตัวร้ายอย่าง Medusa

ช่องโหว่ Zero-day กุญแจดอกสำคัญในการบุกรุก

จุดเด่นที่น่ากลัวของ Storm-1175 คือความเชี่ยวชาญในการค้นหาและใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ โดยเฉพาะ Zero-day (ช่องโหว่ใหม่ที่ยังไม่มีทางแก้) และ N-day (ช่องโหว่ที่เพิ่งเปิดเผยแต่หลายองค์กรยังไม่ได้อัปเดต) พวกเขามักใช้ช่องโหว่เหล่านี้เจาะเข้าสู่ระบบที่เชื่อมต่อกับอินเทอร์เน็ตได้ก่อนที่ผู้ดูแลระบบจะทันตั้งตัว

กลุ่มเป้าหมายหลักที่ได้รับผลกระทบอย่างหนัก ได้แก่ หน่วยงานด้านการเงิน, การศึกษา, สาธารณสุขในประเทศยุทธศาสตร์ อย่างสหรัฐอเมริกา สหราชอาณาจักร และออสเตรเลีย

ปฏิบัติการ 24 ชั่วโมง จากการเจาะระบบสู่การเรียกค่าไถ่

1. Storm-1175 ทำงานด้วยจังหวะที่รวดเร็วมาก เมื่อสามารถเข้าถึงระบบได้แล้ว พวกเขาจะเร่งดำเนินการดังนี้
2. สร้างฐานที่มั่น: สร้างบัญชีผู้ใช้ใหม่หรือติดตั้ง Web Shell เพื่อให้เข้าออกระบบได้ตลอดเวลา
3. ขโมยข้อมูล: ก่อนจะเข้ารหัสเครื่อง พวกเขาจะแอบดูดข้อมูล (Exfiltrate) ออกไปก่อนเพื่อใช้เป็นเครื่องมือต่อรอง
4. ปิดระบบป้องกัน: มีการตั้งค่าข้อยกเว้นใน Microsoft Defender เพื่อไม่ให้ตรวจพบมัลแวร์ ปล่อยแรนซัมแวร์: ทั้งหมดนี้เกิดขึ้นในเวลาเพียงไม่กี่วัน หรือบางกรณี ไม่ถึง 24 ชั่วโมง หลังจากเจาะระบบได้สำเร็จ

คลังอาวุธและเทคนิคการโจมตี (Technical Insights)

ตั้งแต่ปี 2023 เป็นต้นมา กลุ่มนี้ได้ใช้ประโยชน์จากช่องโหว่สำคัญมากกว่า 16 รายการ เช่น
- Microsoft Exchange Server (CVE-2023-21529)
- ระบบจัดการเครื่องพิมพ์ Papercut (CVE-2023-27351)
- ซอฟต์แวร์ควบคุมระยะไกลต่างๆ เช่น ConnectWise, JetBrains, และ SimpleHelp
- ล่าสุดในปี 2025-2026 พบการใช้ช่องโหว่ใน CrushFTP และ SmarterMail แบบ Zero-day อีกด้วย

นอกจากนี้ แฮกเกอร์ยังเปลี่ยนมาพุ่งเป้าที่ระบบ Linux และการใช้เครื่องมือที่ดูเหมือนถูกกฎหมายอย่าง RMM (Remote Monitoring and Management) เช่น AnyDesk หรือ Atera เพื่ออำพรางการรับส่งข้อมูลที่ผิดปกติให้กลมกลืนไปกับทราฟฟิกปกติขององค์กร ทำให้การตรวจจับทำได้ยากยิ่งขึ้น

เทคนิคที่ Storm-1175 เลือกใช้คือการผสมผสานระหว่างซอฟต์แวร์ที่ติดเครื่องมาอยู่แล้ว (Living-off-the-land) ร่วมกับเครื่องมือเฉพาะทาง

- ใช้ PowerShell และ PsExec สำหรับเคลื่อนที่ภายในเครือข่าย
- ใช้ Bandizip ในการรวบรวมไฟล์ และ Rclone เพื่อส่งข้อมูลออกนอกหน่วยงาน
- แก้ไขนโยบาย Windows Firewall เพื่อเปิดช่องทาง RDP ให้ตนเองควบคุมเครื่องอื่นต่อได้ง่ายขึ้น

บทสรุปและข้อควรระวัง

Storm-1175 ไม่ใช่แค่กลุ่มแฮกเกอร์ทั่วไป แต่เป็นกลุ่มที่มีประสิทธิภาพสูงในการเปลี่ยน "ช่องโหว่ใหม่" ให้เป็น "อาวุธ" ในเวลาอันสั้นที่สุด

ข้อแนะนำสำคัญ: องค์กรควรให้ความสำคัญกับการอัปเดต Patch ทันทีที่มีการประกาศ (โดยเฉพาะระบบที่เชื่อมต่ออินเทอร์เน็ต) และต้องเฝ้าระวังการใช้งานเครื่องมือควบคุมระยะไกล (RMM) ภายในเครือข่ายอย่างใกล้ชิด เพราะสิ่งที่ดูเหมือนเครื่องมือช่วยเหลือฝ่าย IT อาจกลายเป็นประตูที่แฮกเกอร์เปิดทิ้งไว้เพื่อโจมตีคุณในยามวิกาล

Ref : https://thehackernews.com/2026/03/openai-codex-security-scanned-12.htm

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner .

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com

09/04/2026

เผยต้นทุนแฝง ทำไม ปัญหารหัสผ่านซ้ำซาก ถึงทำร้ายธุรกิจมากกว่าที่คุณคิด

ในโลกของ Cybersecurity หลายคนมักพุ่งเป้าไปที่การป้องกันการถูกเจาะระบบ (Data Breach) ครั้งใหญ่ เพราะตัวเลขความเสียหายเฉลี่ยที่ IBM ระบุไว้นั้นสูงถึง 4.4 ล้านดอลลาร์ การลงทุนเพื่อป้องกันเหตุการณ์เพียงครั้งเดียวจึงดูคุ้มค่าในสายตาผู้บริหาร แต่ในความเป็นจริง ยังมีภัยเงียบที่กำลังกัดกินทรัพยากรองค์กรอยู่ทุกวัน นั่นคือ "เหตุการณ์ผิดปกติเกี่ยวกับข้อมูลประจำตัวที่เกิดขึ้นซ้ำซาก" (Recurring Credential Incidents)

1. เมื่อความวุ่นวายรายวัน กลายเป็นต้นทุนที่มองไม่เห็น

ปัญหาอย่างการลืมรหัสผ่าน บัญชีถูกล็อก หรือการต้องรีเซ็ตรหัสผ่านใหม่บ่อยๆ อาจดูเป็นเรื่องเล็กน้อย แต่เมื่อรวมกันแล้วมันคือ ภาระมหาศาล

- ภาระของ Helpdesk: Forrester เผยว่า 30% ของการแจ้งซ่อม มาจากเรื่องรหัสผ่าน
- ต้นทุนต่อครั้ง: การรีเซ็ตรหัสผ่านหนึ่งครั้งมีค่าใช้จ่ายแฝง (ค่าแรงและเวลาที่เสียไป) สูงถึง 70 ดอลลาร์
- ประสิทธิภาพที่ถดถอย: ทีม IT ต้องเสียเวลาไปกับการ "ไล่แก้ปัญหาเฉพาะหน้า" แทนที่จะได้ทำงานเชิงกลยุทธ์ที่มีมูลค่าสูงกว่า

2. นโยบายที่ตึงเกินไป กลับกลายเป็นช่องโหว่

หลายองค์กรแก้ปัญหาด้วยการตั้งกฎรหัสผ่านให้ยากและซับซ้อน แต่ผลลัพธ์มักตรงกันข้าม เมื่อผู้ใช้งานรู้สึกว่าระบบ "ใช้งานยาก" พวกเขาจะเริ่มหาทางลัด

- พฤติกรรมเสี่ยง: นำรหัสผ่านเดิมมาเติมตัวเลขสั้นๆ หรือจดรหัสใส่กระดาษ ซึ่งเสี่ยงต่อการถูกเดาได้ง่าย
- ช่องว่างของเวลา: การบังคับเปลี่ยนรหัสตามรอบ (เช่น ทุก 90 วัน) ไม่ได้ช่วยอะไรหากรหัสถูกขโมยไปตั้งแต่วันแรก เพราะผู้โจมตียังมีเวลาใช้งานได้จนกว่าจะครบกำหนด

หัวใจสำคัญคือ รหัสผ่านไม่ได้อันตรายเพราะมัน "เก่า" แต่มันอันตรายเพราะมัน "หลุด" ไปอยู่ในมือมิจฉาชีพแล้วต่างหาก

3. เปลี่ยนจากการ "รักษา" เป็น "การป้องกันที่ต้นเหตุ"

ปัจจุบันหน่วยงานระดับโลกอย่าง NIST เริ่มแนะนำให้เลิกบังคับเปลี่ยนรหัสผ่านตามรอบเวลา และเปลี่ยนมาใช้วิธี "เปลี่ยนเมื่อพบความเสี่ยง" แทน แม้โลกกำลังมุ่งหน้าสู่ระบบไร้รหัสผ่าน (Passwordless) แต่รหัสผ่านยังคงเป็นรากฐานสำคัญของการยืนยันตัวตน หากพื้นฐานนี้อ่อนแอ ความเสี่ยงก็จะลามไปสู่ระบบอื่นๆ นโยบายที่แข็งแกร่งต้องมาพร้อมกับความเป็นมิตรต่อผู้ใช้งาน

แนวทางแก้ไขเพื่อลดภาระงานและเพิ่มความปลอดภัย

1. เลิกบังคับเปลี่ยนรหัสผ่านตามรอบเวลา (Eliminate Arbitrary Resets) การเปลี่ยนจากนโยบาย "บังคับเปลี่ยนทุก 90 วัน" มาเป็นการ "เปลี่ยนเมื่อมีความเสี่ยงจริง" ตามคำแนะนำของ NIST

- พฤติกรรมการตั้งรหัสผ่านที่คาดเดาง่าย: เช่น การเปลี่ยนจาก Password01 เป็น Password02
- ภาระของ Helpdesk: ลดจำนวนเคส Account Lockout จากการที่ผู้ใช้จำรหัสผ่านใหม่ไม่ได้

2. ใช้ระบบคัดกรองรหัสผ่านที่รั่วไหล (Implement Breached Password Screening) ความเสี่ยงที่แท้จริงคือการที่พนักงานใช้รหัสผ่านที่เคยถูกแฮ็กจากบริการอื่น (Credential Stuffing)

- แนวทาง: ใช้โซลูชันที่สามารถตรวจสอบรหัสผ่านของพนักงานเทียบกับฐานข้อมูลรหัสผ่านที่เคยรั่วไหลทั่วโลก
- ผลลัพธ์: หากพนักงานพยายามตั้งรหัสที่เสี่ยง ระบบจะบล็อกทันทีตั้งแต่ต้นทาง

3. ปรับปรุงนโยบายให้ "เป็นมิตรต่อผู้ใช้" (Improve Policy Usability) การบอกแค่ว่า "รหัสผ่านไม่ตรงตามข้อกำหนด" โดยไม่บอกสาเหตุ ทำให้ผู้ใช้หงุดหงิดและหาทางลัด

- แนวทาง: ให้ระบบแสดงผลแจ้งเตือนแบบ Real-time ว่ารหัสผ่านขาดองค์ประกอบใด (เช่น ขาดอักขระพิเศษ หรือห้ามใช้คำว่า 'Password')

4. ยกระดับการยืนยันตัวตนก่อนเข้าสู่ระบบ Passwordless อย่ามองข้ามความสำคัญของรหัสผ่านเพียงเพราะกำลังจะเปลี่ยนไปใช้ระบบ Scan นิ้ว หรือ Token

- แนวทาง: สร้างรากฐาน Identity Security ที่แข็งแกร่งด้วยการบังคับใช้ MFA (Multi-Factor Authentication) ร่วมกับนโยบายรหัสผ่านที่รัดกุม
- ผลลัพธ์: ป้องกันการโจมตีแบบ Lateral Movement (การเคลื่อนไหวไปมาระหว่างระบบ) แม้ระบบใดระบบหนึ่งจะถูกเจาะ

5. วิเคราะห์ต้นทุนและประสิทธิภาพการทำงาน (Monitor Operational Impact) ทำความเข้าใจว่าปัญหา Digital Identity กระทบกับธุรกิจอย่างไร

- แนวทาง: ติดตามสถิติของ Helpdesk ว่าเสียเวลาไปกับเรื่อง Password มากน้อยเพียงใด และคำนวณเป็นต้นทุนที่แท้จริง
- ผลลัพธ์: ช่วยให้ฝ่ายบริหารเห็นความสำคัญของการลงทุนในเครื่องมือจัดการรหัสผ่านอัตโนมัติที่ช่วยลด "ต้นทุนแฝง" เหล่านี้ได้จริง

Ref : https://thehackernews.com/2026/04/the-hidden-cost-of-recurring-credential.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com

01/04/2026

เจาะลึก Red Menshen สายลับดิจิทัล ผู้อยู่เบื้องหลังการจารกรรมเครือข่ายโทรคมนาคมโลก

ในโลกของสงครามไซเบอร์ การตรวจพบภัยคุกคามที่รวดเร็วคือหัวใจสำคัญ แต่จะเกิดอะไรขึ้นถ้าศัตรูสามารถฝังตัวอยู่ในระบบได้นานหลายปีโดยไม่มีใครสังเกตเห็น และนี่คือเรื่องราวของกลุ่มแฮกเกอร์ Red Menshen (หรือที่รู้จักในชื่อ Earth Bluecrow) กลุ่มภัยคุกคามที่มีความเชื่อมโยงกับรัฐบาลจีน ซึ่งล่าสุดถูกเปิดเผยว่าได้สร้างระบบจารกรรมที่ "แนบเนียนที่สุด" เท่าที่เคยมีมาในอุตสาหกรรมโทรคมนาคม

รายงานจาก Rapid7 Labs ระบุว่า Red Menshen ได้เข้าแทรกซึมเครือข่ายโทรคมนาคมในภูมิภาคเอเชียและตะวันออกกลางมาตั้งแต่ปี 2021 โดยมีเป้าหมายหลักไม่ใช่การทำลายระบบ แต่เป็นการ "ฝังตัวระยะยาว" เพื่อจารกรรมข้อมูลของรัฐบาลและบุคคลสำคัญ กลุ่มนี้เปรียบเสมือน "สายลับหรือหน่วยปฏิบัติการที่แฝงตัวอยู่" (Sleeper Cells) ที่คอยเฝ้าดูความเคลื่อนไหวผ่านโครงข่ายหลักของระบบสื่อสาร (Telecom Backbone)

BPFDoor ประตูกลที่ไร้ร่องรอย

อาวุธลับที่ทำให้ Red Menshen น่ากลัวคือ มัลแวร์ที่ชื่อ BPFDoor ซึ่งมีความต่างจากมัลแวร์ทั่วไปอย่างสิ้นเชิง เช่น

- ไม่เปิดช่องโหว่ให้เห็น: มันไม่มีการเปิดพอร์ตสื่อสาร (Listening Ports) หรือส่งสัญญาณ Beaconing ออกไปหาแฮกเกอร์เป็นระยะ ทำให้เครื่องมือสแกนไวรัสทั่วไปตรวจไม่พบ
- ซ่อนตัวในระดับ Kernel: มัลแวร์นี้ฝังตัวอยู่ในระดับรากฐานของระบบปฏิบัติการ (Kernel) และใช้เทคโนโลยี Berkeley Packet Filter (BPF) เพื่อดักกรองข้อมูล
- รอคำสั่ง: BPFDoor จะอยู่นิ่งๆ จนกว่าจะได้รับแพ็กเก็ตข้อมูลที่สร้างขึ้นมาเป็นพิเศษ (Magic Packet) จากแฮกเกอร์เพื่อปลุกให้มันทำงานและเปิดรีโมทให้แฮกเกอร์เข้าควบคุมเครื่องได้ทันที

เส้นทางการโจมตี จากหน้าบ้านสู่หัวใจเครือข่าย

Red Menshen เริ่มต้นจากการเจาะเข้าทาง "อุปกรณ์หน้าบ้าน" ที่เชื่อมต่อกับอินเทอร์เน็ต เช่น VPN, Firewall หรือเซิร์ฟเวอร์จากแบรนด์ดังอย่าง Cisco, Fortinet, VMware และ Palo Alto Networks เมื่อได้จุดยึดแล้ว พวกเขาจะติดตั้งเครื่องมือสนับสนุนอื่นๆ เช่น

- Framework สำหรับควบคุม: อย่าง CrossC2 หรือ Sliver
- เครื่องมือขโมยรหัสผ่าน: เพื่อใช้ในการเคลื่อนที่ภายในเครือข่าย (Lateral Movement) จากเครื่องหนึ่งไปสู่อีกเครื่องหนึ่ง

วิวัฒนาการใหม่ การพรางตัวขั้นสูง

ล่าสุดพบเวอร์ชันใหม่ของ BPFDoor ที่ยกระดับความแนบเนียนไปอีกขั้น

- HTTPS Camouflage: ซ่อนคำสั่งปลุกมัลแวร์ไว้แนบเนียนไปกับทราฟฟิก HTTPS (เว็บปกติ) ทำให้ดูเหมือนการใช้งานอินเทอร์เน็ตทั่วไป
- SCTP Support: รองรับโปรโตคอลเฉพาะของเครือข่ายมือถือ ทำให้แฮกเกอร์สามารถ ติดตามตำแหน่งที่อยู่และพฤติกรรมของผู้ใช้โทรศัพท์มือถือ ได้โดยตรง
- ICMP Communication: ใช้การสื่อสารผ่านโปรโตคอล ICMP ระหว่างเครื่องที่ติดมัลแวร์ด้วยกันเองเพื่อลดความผิดสังเกต

บทสรุป ความท้าทายใหม่ของความปลอดภัยทางไซเบอร์

การโจมตีของ Red Menshen สะท้อนให้เห็นว่าแฮกเกอร์ในปัจจุบันไม่ได้เล็งแค่การโจมตีซอฟต์แวร์ที่เราใช้งานกันทั่วไป แต่กำลังฝังตัวลึกลงไปในระดับฮาร์ดแวร์และโครงสร้างพื้นฐาน 4G/5G ซึ่งการตรวจจับทำได้ยาก

สำหรับองค์กรและผู้ดูแลระบบ นี่คือสัญญาณเตือนว่าการป้องกันเพียง "ขอบเขตภายนอก" อาจไม่เพียงพออีกต่อไป แต่ต้องอาศัยการตรวจสอบพฤติกรรมในระดับลึก (Deep Packet Inspection) และการเฝ้าระวังภายในเคอร์เนลของระบบอย่างใกล้ชิด

Ref : https://thehackernews.com/2026/03/china-linked-red-menshen-uses-stealthy.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com

13/03/2026

ก้าวล้ำไปอีกขั้น OpenAI เปิดตัว 'Codex Security' AI ผู้ช่วยด้านความปลอดภัยไซเบอร์ สแกนโค้ดกว่าล้านรายการ พบช่องโหว่ร้ายแรงนับหมื่นจุด

เมื่อวันศุกร์ที่ผ่านมา OpenAI ได้เดินหน้ายกระดับวงการความปลอดภัยทางไซเบอร์ ด้วยการเปิดตัว Codex Security อย่างเป็นทางการ ซึ่งเป็น AI Agent ที่ถูกออกแบบมาเพื่อทำหน้าที่ค้นหา ตรวจสอบ ยืนยัน และเสนอแนวทางแก้ไขช่องโหว่ของระบบซอฟต์แวร์แบบครบวงจร

ปัจจุบัน ฟีเจอร์นี้เปิดให้ใช้งานในรูปแบบพรีวิวเพื่องานวิจัย (Research Preview) ผ่านทางเว็บไซต์ Codex โดยผู้ใช้งาน ChatGPT ในแพ็กเกจ Pro, Enterprise, Business และ Edu สามารถทดลองใช้งานได้ฟรี

จากโปรเจกต์ Aardvark สู่ผลลัพธ์การสแกนระดับโลก

Codex Security ถือเป็นวิวัฒนาการขั้นกว่าของโปรเจกต์ Aardvark ที่ OpenAI เคยเปิดทดสอบแบบ Private Beta ไปเมื่อเดือนตุลาคม ปี 2025 เพื่อช่วยให้นักพัฒนาและทีมรักษาความปลอดภัยจัดการกับช่องโหว่ในสเกลขนาดใหญ่ได้ ผลลัพธ์จากการทดสอบในช่วง 30 วันที่ผ่านมาพิสูจน์ให้เห็นถึงประสิทธิภาพที่น่าทึ่ง ระบบได้ทำการสแกนโค้ดคอมมิต (Commits) ไปมากกว่า 1.2 ล้านรายการบน Repositories ภายนอก ซึ่งสามารถตรวจพบช่องโหว่ระดับ Critical ถึง 792 รายการ และมีระดับ รุนแรงสูง (High-Severity) อีก 10,561 รายการ สิ่งที่น่าสนใจคือ AI ตัวนี้สามารถค้นพบช่องโหว่ในโปรเจกต์โอเพนซอร์สชื่อดังที่ใช้งานกันทั่วโลก ไม่ว่าจะเป็น OpenSSH, libssh, PHP และ Chromium รวมถึงโปรเจกต์อื่นๆ ที่มีการระบุรหัสช่องโหว่ (CVE) ไว้อย่างชัดเจน ดังนี้

- GnuPG: CVE-2026-24881, CVE-2026-24882

- GnuTLS: CVE-2025-32988, CVE-2025-32989

- GOGS: CVE-2025-64175, CVE-2026-25242

- Thorium: CVE-2025-35430, CVE-2025-35431, CVE-2025-35432, CVE-2025-35433, CVE-2025-35434, CVE-2025-35435, CVE-2025-35436

ทำไม Codex Security ถึงแม่นยำและแตกต่าง?

OpenAI ระบุว่า การทำงานของ Codex Security แตกต่างจากเครื่องมือ Agent ทั่วไปตรงที่ "ระบบจะสร้างบริบทเชิงลึกเกี่ยวกับโปรเจกต์ เพื่อระบุช่องโหว่ที่ซับซ้อนที่เครื่องมืออื่นมักพลาดไป พร้อมนำเสนอผลลัพธ์ที่มีความมั่นใจสูง และแนวทางแก้ไขที่ใช้งานได้จริง ซึ่งจะช่วยลดการแจ้งเตือนที่น่ารำคาญจากบั๊กที่ไม่สำคัญ"

ทาง OpenAI ได้ให้สัมภาษณ์กับ The Hacker News ว่า Codex Security มุ่งเน้นไปที่การปรับปรุงอัตราส่วนข้อมูลที่สำคัญต่อข้อมูลรบกวน (Signal-to-noise) โดยยึดหลักการค้นหาช่องโหว่จากบริบทของระบบเป็นหลัก ซึ่งมีกลไกการทำงาน 3 ขั้นตอน ดังนี้

1. วิเคราะห์และสร้างแบบจำลอง (Analyze & Threat Model): AI จะเข้าไปวิเคราะห์ Repository เพื่อทำความเข้าใจโครงสร้างด้านความปลอดภัยของโปรเจกต์ จากนั้นจะสร้าง "แบบจำลองภัยคุกคาม (Threat Model)" ที่สามารถแก้ไขได้ เพื่อบันทึกว่าระบบทำหน้าที่อะไร และจุดไหนที่เสี่ยงต่อการถูกโจมตีมากที่สุด

2. ระบุและทดสอบยืนยัน (Identify & Validate): เมื่อเข้าใจบริบทแล้ว ระบบจะระบุช่องโหว่และจัดประเภทตามผลกระทบที่จะเกิดขึ้นจริง จากนั้นจะนำปัญหาไปทดสอบแรงกดดัน (Pressure-tested) ในสภาพแวดล้อมจำลอง (Sandbox)

“เมื่อปรับแต่งสภาพแวดล้อมให้เข้ากับโปรเจกต์ของคุณ Codex Security จะสามารถตรวจสอบปัญหาได้โดยตรงในขณะที่ระบบกำลังทำงาน ซึ่งจะช่วยลดการแจ้งเตือนที่ผิดพลาด และสามารถสร้างตัวต้นแบบ (Proofs-of-concept) เพื่อเป็นหลักฐานที่ชัดเจนให้กับทีมความปลอดภัยได้” OpenAI กล่าว

3. เสนอแนวทางแก้ไข (Propose Fixes): ในขั้นตอนสุดท้าย AI จะเสนอแพตช์แก้ไขที่สอดคล้องกับพฤติกรรมเดิมของระบบมากที่สุด เพื่อป้องกันไม่ให้เกิดปัญหา ทำให้ทีมสามารถตรวจสอบและนำโค้ดไปใช้งาน (Deploy) ได้อย่างราบรื่น

สมรภูมิ AI ด้านความปลอดภัยที่กำลังดุเดือด

การเคลื่อนไหวของ OpenAI ในครั้งนี้ ถือเป็นการแข่งขันที่น่าจับตามองในอุตสาหกรรมเทคโนโลยี เนื่องจากเกิดขึ้นเพียงไม่กี่สัปดาห์ หลังจากที่บริษัทคู่แข่งรายสำคัญอย่าง Anthropic เพิ่งเปิดตัว Claude Code Security เครื่องมือสแกนหาช่องโหว่และเสนอแพตช์แก้ไขในลักษณะเดียวกันออกมา

Ref : https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com

10/03/2026

กลุ่มแฮกเกอร์ MuddyWater จากอิหร่าน ใช้มัลแวร์ใหม่ "Dindoor" โจมตีเครือข่ายสหรัฐฯ

ในโลกของสงครามไซเบอร์ปัจจุบัน เส้นแบ่งระหว่างความขัดแย้งทางทหารและโลกดิจิทัลเริ่มจางลงทุกที ล่าสุดทีมวิจัยจาก Symantec และ Carbon Black (ภายใต้ Broadcom) ได้ตรวจพบความเคลื่อนไหวครั้งสำคัญของกลุ่มแฮกเกอร์ "MuddyWater" หรือที่รู้จักในนาม Seedworm ซึ่งเป็นกลุ่มจารกรรมทางไซเบอร์ระดับรัฐที่เชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS)

1. เป้าหมาย

ปฏิบัติการครั้งนี้เริ่มชัดเจนขึ้นตั้งแต่ช่วงต้นเดือนกุมภาพันธ์ 2026 โดยมุ่งเป้าไปที่องค์กรระดับโครงสร้างพื้นฐานในสหรัฐฯ และแคนาดา เช่น ธนาคาร, สนามบิน และองค์กรไม่แสวงหาผลกำไร รวมถึงบริษัทซอฟต์แวร์สัญชาติอเมริกันที่มีฐานปฏิบัติการในอิสราเอล ซึ่งเป็นซัพพลายเออร์สำคัญในอุตสาหกรรมป้องกันประเทศและอวกาศ

ที่น่าสนใจคือ ความถี่ของการโจมตีเพิ่มสูงขึ้นอย่างมีนัยสำคัญภายหลังการปะทะทางทหารระหว่างสหรัฐฯ-อิสราเอล และอิหร่าน สะท้อนให้เห็นว่าอิหร่านใช้ไซเบอร์เป็นเครื่องมือในการตอบโต้เชิงสัญลักษณ์และจารกรรมข้อมูลไปพร้อมกัน

2. "Dindoor" อาวุธใหม่ที่มาพร้อมเทคนิคเหนือชั้น

ในการโจมตีครั้งนี้ แฮกเกอร์ได้เปิดตัวมัลแวร์ตัวใหม่ที่ไม่เคยถูกพบมาก่อนในชื่อ "Dindoor" ซึ่งมีคุณสมบัติที่น่าจับตามองในแง่เทคนิค ดังนี้

- Runtime Innovation: Dindoor ทำงานผ่าน Deno JavaScript Runtime ซึ่งเป็นการเลือกใช้สภาพแวดล้อมที่แปลกใหม่ ทำให้ระบบตรวจจับ (EDR/AV) แบบเดิมๆ ที่เน้น Signature อาจตรวจหาได้ยากขึ้น

- Credential Abuse: มีการใช้ Digital Certificates ที่ขโมยมาเพื่อลงนามมัลแวร์ ทำให้ดูเหมือนเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมาย

- Data Exfiltration: พบความพยายามใช้เครื่องมือ Open-source อย่าง Rclone เพื่อดึงข้อมูลออกไปยัง Cloud Storage ภายนอก (Wasabi) เพื่ออำพรางการรับส่งข้อมูลให้ดูเหมือนการสำรองข้อมูลปกติ

3. กลยุทธ์ "กล้องวงจรปิด" สัญญาณเตือนภัยก่อนการโจมตีจริง

รายงานจาก Check Point เสริมว่ากลุ่มแฮกเกอร์พันธมิตรของอิหร่าน (เช่น Agrius) กำลังไล่สแกนหาช่องโหว่ในกล้อง IP และระบบอินเตอร์คอม (เช่น Hikvision และ Dahua) ทั่วอิสราเอล และกลุ่มประเทศที่เกี่ยวข้อง

ทำไมต้องเป็นกล้อง? ผู้เชี่ยวชาญประเมินว่า การเจาะระบบกล้องไม่ใช่แค่การสอดแนมทั่วไป แต่เป็นส่วนหนึ่งของ Battle Damage Assessment (BDA) หรือการประเมินความเสียหายหลังการยิงขีปนาวุธในพื้นที่จริง ซึ่งอาจเป็นสัญญาณบ่งชี้ถึงปฏิบัติการทางทหาร (Kinetic Activity) ที่จะตามมาในอนาคต

4. พฤติกรรมที่เปลี่ยนไป

แม้จะมีการพัฒนาอาวุธใหม่อย่าง Dindoor แต่หลักการพื้นฐานที่อิหร่านใช้ยังคงเน้นไปที่จุดอ่อนที่แก้ไขยากที่สุด นั่นคือ "ตัวตน (Identity)" และ "คลาวด์" โดยมุ่งเน้นที่

- การขโมยข้อมูลประจำตัว (Credential Theft)

- การเดารหัสผ่าน (Password Spraying)

- Social Engineering เช่น แคมเปญ Honeytrap หรือกับดักเพื่อเข้าถึงบุคคลเป้าหมาย

5. แนวทางการรับมือสำหรับองค์กร

ในฐานะผู้ดูแลระบบหรือผู้เชี่ยวชาญด้าน IT แนะนำให้ยกระดับความปลอดภัยตามแนวทางดังนี้

- Enforce Phishing - Resistant MFA: ใช้การยืนยันตัวตนหลายปัจจัยที่ทนทานต่อการทำฟิชชิ่ง

- Network Segmentation: แยกส่วนเครือข่าย โดยเฉพาะระบบ OT และระบบที่เชื่อมต่ออินเทอร์เน็ต

- Monitor Cloud Control Planes: เฝ้าระวังการเข้าถึงและการตั้งค่าในระดับ Cloud Infrastructure อย่างใกล้ชิด

- Patch Management: อัปเดตช่องโหว่ที่มักถูกใช้เป็นทางเข้า (เช่น CVE ของอุปกรณ์ Edge และ VPN) อย่างเร่งด่วน

สรุป: ปฏิบัติการของ MuddyWater ในครั้งนี้เตือนให้เราเห็นว่า "ความมั่นคงปลอดภัยทางไซเบอร์ไม่ใช่แค่เรื่องของไอที แต่คือเรื่องของความมั่นคงระดับชาติ" องค์กรในฝั่งตะวันตกและพันธมิตรควรเฝ้าระวังระดับสูงสุด เพราะกิจกรรมจากกลุ่มแฮกเกอร์ (Hacktivism) อาจขยับไปสู่ปฏิบัติการทำลายล้างได้ทุกเมื่อ

Ref : https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com

06/03/2026

🏃‍♂️ อย่าพลาด! โอกาสร่วมกิจกรรม "MCU VIRTUAL MOVE 2026"
BAYCOMS ชวนทุกคนมา ขยับร่างกาย สร้างสุขภาพดีไปด้วยกัน ไม่ว่าคุณจะเป็นสายวิ่ง สายเดิน หรือสายออกกำลังกายเบา ๆ ก็สามารถร่วมกิจกรรมสะสมระยะได้ง่าย ๆ

✨ จะ เดิน หรือ วิ่ง ก็ร่วมได้
✨ ออกกำลังกายที่ไหน เมื่อไหร่ก็ได้

กิจกรรมดี ๆ ที่ช่วยให้คุณได้
💪 สุขภาพแข็งแรง
😊 เพิ่มพลังบวกในทุกวัน
🏅 ความภูมิใจในทุกก้าวที่คุณทำได้

📅 ร่วมกิจกรรมได้ตั้งแต่วันนี้ – 8 เมษายน 2569

สมัครได้เลยที่
📝 Website : purchase.sosorun.com
📱 Application : SOSORUN

🔥 สมัครวันนี้ แล้วเริ่มก้าวแรกไปด้วยกัน
สามารถ ชวนเพื่อน ชวนทีม มาร่วมสนุกและสร้างพลังบวกไปพร้อมกัน

25/02/2026

ภัยไซเบอร์รูปแบบใหม่ 'ClickFix' กลลวงสุดแยบยลที่เปลี่ยนเว็บจริงให้เป็นกับดักมัลแวร์

ทีมนักวิจัยด้านความปลอดภัยจาก Elastic Security Labs ได้ออกโรงเตือนถึงภัยคุกคามทางไซเบอร์รูปแบบใหม่ที่เรียกว่าแคมเปญ "ClickFix" ซึ่งมีความซับซ้อนและแนบเนียนเป็นอย่างมาก โดยจุดเด่นของแคมเปญนี้คือการที่แฮกเกอร์ไม่ได้สร้างเว็บไซต์ปลอมขึ้นมาหลอกๆ แต่เลือกที่จะ "แฮกเว็บไซต์ที่ถูกต้องตามกฎหมาย" เพื่อใช้เป็นสะพานเชื่อมในการหลอกลวงผู้ใช้งานให้ติดตั้งมัลแวร์ตัวใหม่ที่ชื่อว่า MIMICRAT (หรือ AstarionRAT)

นักวิจัยได้คาดการณ์ว่าเป้าหมายสูงสุดของการโจมตีครั้งนี้ คือการปูทางไปสู่การปล่อย "แรนซัมแวร์" (มัลแวร์เรียกค่าไถ่) หรือการขโมยข้อมูลสำคัญขององค์กร

กลโกงของ ClickFix ทำงานอย่างไร

ความน่ากลัวของ ClickFix คือการใช้เทคนิคจิตวิทยา (Social Engineering) หลอกให้เหยื่อเป็นคนลงมือเปิดประตูให้มัลแวร์เข้ามาในเครื่องด้วยตัวเอง โดยมีขั้นตอนดังนี้

1. ยึดเว็บไซต์จริงเป็นฐานที่มั่น แฮกเกอร์จะเจาะระบบเว็บไซต์ที่คนทั่วไปใช้งานตามปกติ (เช่น เว็บไซต์ตรวจสอบข้อมูลบัตรเครดิต bincheck.io) และแอบฝังสคริปต์อันตรายเอาไว้
2. สร้างสถานการณ์หลอกลวง เมื่อผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ดังกล่าว สคริปต์จะแสดงหน้าต่างแจ้งเตือนปลอมที่ดูแนบเนียนมาก เช่น ทำหน้าต่างหลอกว่ากำลังตรวจสอบระบบรักษาความปลอดภัยของ Cloudflare
3. หลอกให้เหยื่อทำตามคำสั่ง ซึ่งหน้าต่างปลอมนั้นจะแนะนำให้ผู้ใช้งานคัดลอกคำสั่งบางอย่าง แล้วนำไปวางในกล่องคำสั่ง Windows Run เพื่อแก้ไขปัญหาการเข้าเว็บ
4. เปิดประตูรับมัลแวร์ ทันทีที่ผู้ใช้งานรันคำสั่งนั้น ระบบจะแอบดาวน์โหลดชุดคำสั่งขั้นสูง (PowerShell) แบบเงียบๆ ซึ่งคำสั่งนี้มีความฉลาดพอที่จะเข้าไปปิดระบบบันทึกเหตุการณ์และระบบสแกนไวรัสของ Windows (ETW และ AMSI) ก่อนจะทำการติดตั้งมัลแวร์ตัวสุดท้ายลงในหน่วยความจำ

ทำความรู้จัก "MIMICRAT" มัลแวร์สายลับจอมพรางตัว

MIMICRAT เป็นมัลแวร์ประเภทที่เปิดทางให้แฮกเกอร์สามารถควบคุมเครื่องเหยื่อได้จากระยะไกล (Remote Access Trojan - RAT) ซึ่งถูกพัฒนาขึ้นมาใหม่และมีประสิทธิภาพสูงมาก สิ่งที่ทำให้มันอันตรายมีดังนี้

- ควบคุมได้เบ็ดเสร็จ มันมาพร้อมกับชุดคำสั่งถึง 22 คำสั่งที่เปิดให้แฮกเกอร์เข้าจัดการไฟล์ ควบคุมโปรเซสการทำงาน หรือแม้แต่ขโมยสิทธิ์การเข้าถึงของผู้ใช้งาน
- พรางตัวเก่ง มัลแวร์ตัวนี้สื่อสารกับแฮกเกอร์ผ่านช่องทาง HTTPS โดยพรางข้อมูลให้ดูเหมือนเป็นแค่การส่งข้อมูลสถิติของเว็บไซต์ปกติ (Web Analytics) ทำให้ระบบรักษาความปลอดภัยขององค์กรจับสังเกตได้ยาก

ภัยคุกคามที่ไร้พรมแดน

แคมเปญ ClickFix ไม่ได้พุ่งเป้าไปที่กลุ่มใดกลุ่มหนึ่งโดยเฉพาะ แต่เป็นการโจมตีแบบหว่านแห โดยระบบหลอกลวงนี้ฉลาดถึงขั้นสามารถ ปรับเปลี่ยนภาษาได้อัตโนมัติตามเบราว์เซอร์ของเหยื่อถึง 17 ภาษา ทำให้มีผู้ตกเป็นเหยื่อแล้วทั่วโลก ทั้งในมหาวิทยาลัยในสหรัฐอเมริกา ไปจนถึงกลุ่มผู้ใช้งานในฝั่งเอเชีย นอกจากนี้นักวิจัยยังพบว่ายุทธวิธีนี้มีความเชื่อมโยงกับเครือข่ายแฮกเกอร์กลุ่มอื่นๆ ที่เคยใช้มัลแวร์ในลักษณะคล้ายกัน (เช่น Matanbuchus 3.0) ซึ่งตอกย้ำว่านี่คือขบวนการอาชญากรรมทางไซเบอร์ที่มีการจัดการอย่างเป็นระบบ

วิธีป้องกันตนเองและองค์กรจากภัยคุกคาม ClickFix

เนื่องจากการโจมตีของ ClickFix อาศัย "ความตื่นตระหนก" และ "ความไม่รู้" ของผู้ใช้งานเป็นหลัก มากกว่าการอาศัยช่องโหว่ของระบบปฏิบัติการเพียงอย่างเดียว การป้องกันจึงต้องเริ่มต้นที่ความตระหนักรู้ของผู้ใช้ ควบคู่ไปกับระบบรักษาความปลอดภัยที่รัดกุม

- กฎเหล็ก "ห้ามคัดลอกแล้ววาง" จดจำไว้เสมอว่า บริการเว็บโฮสติ้ง, ระบบป้องกันอย่าง Cloudflare, หรือเบราว์เซอร์ จะไม่มีวันสั่งให้ผู้ใช้งานคัดลอกโค้ดหรือคำสั่งใดๆ ไปวางในหน้าต่าง Windows Run (Win+R), Command Prompt หรือ PowerShell เพื่อแก้ไขปัญหาการเข้าเว็บโดยเด็ดขาด
- อย่าหลงเชื่อหน้าต่างแจ้งเตือนที่ดูผิดปกติ หากเข้าเว็บไซต์แล้วพบหน้าต่างแจ้งเตือนให้ทำตามขั้นตอนที่ซับซ้อน หรือดูน่าสงสัย ให้รีบปิดหน้าต่าง หรือปิดเบราว์เซอร์นั้นทิ้งทันที
- ยกระดับระบบรักษาความปลอดภัย (Endpoint Security) แม้มัลแวร์ตัวนี้จะถูกออกแบบมาให้ข้ามการตรวจจับของแอนตี้ไวรัสทั่วไป (AMSI bypass) องค์กรจึงควรใช้ระบบรักษาความปลอดภัยระดับสูงอย่าง EDR (Endpoint Detection and Response) ที่เน้นตรวจจับจาก "พฤติกรรม" ที่ผิดปกติของโปรแกรม มากกว่าการตรวจจับจากฐานข้อมูลไวรัสเพียงอย่างเดียว
- จำกัดสิทธิ์การใช้งาน PowerShell สำหรับผู้ดูแลระบบไอทีขององค์กร ควรตั้งค่านโยบาย (Ex*****on Policy) เพื่อจำกัดการรันสคริปต์ PowerShell สำหรับพนักงานทั่วไปที่ไม่มีความจำเป็นต้องใช้งาน เพื่อตัดไฟแต่ต้นลมหากพนักงานเผลอไปกดรันสคริปต์อันตราย
- อัปเดตระบบอยู่เสมอ หมั่นอัปเดตเว็บเบราว์เซอร์ ระบบปฏิบัติการ Windows และโปรแกรมป้องกันไวรัสให้เป็นเวอร์ชันล่าสุด เพื่ออุดช่องโหว่ด้านความปลอดภัย

เมื่อภัยทางไซเบอร์เริ่มแนบเนียนและยืมมือเว็บไซต์ที่น่าเชื่อถือมาหลอกลวง สิ่งที่เราควรต้องมีคือ "สติ" และ "ความเอะใจ" จะสามารถช่วยเป็นเกราะป้องกันด่านแรกที่สำคัญที่สุดในการท่องโลกอินเทอร์เน็ต

Ref : https://thehackernews.com/2026/02/clickfix-campaign-abuses-compromised.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner .

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com

22/02/2026

เมื่อ AI กลายเป็น "อาวุธ" ในมือแฮกเกอร์ สรุปรายงาน Google พบภัยคุกคามใหม่จากกลุ่มรัฐหนุนหลัง

ในโลกไซเบอร์ปัจจุบัน เส้นแบ่งระหว่าง "การใช้งาน AI เพื่อความก้าวหน้า" กับ "การใช้ AI เพื่อการโจมตี" กำลังเลือนลางลง รายงานล่าสุดจาก Google Threat Intelligence Group (GTIG) ระบุว่า กลุ่มแฮกเกอร์ระดับรัฐ (State-backed Actors) เริ่มนำ Gemini AI มาปรับใช้อย่างเป็นระบบเพื่อยกระดับการโจมตีให้รวดเร็วและแนบเนียนยิ่งขึ้น

1. กลุ่ม UNC2970 กับแผนการ "Operation Dream Job"
กลุ่มแฮกเกอร์จากเกาหลีเหนือที่รู้จักกันในชื่อ UNC2970 หรือในเครือข่าย Lazarus Group ได้ใช้ Gemini AI เป็นเครื่องมือหลักในการทำ Reconnaissance (การลาดตระเวน) โดยเฉพาะในกลุ่มอุตสาหกรรมการป้องกันประเทศและการบิน

- วิเคราะห์เป้าหมาย: ใช้ AI ช่วยสรุปข้อมูลจากแหล่งเปิด (OSINT) เพื่อระบุตัวบุคคลสำคัญในบริษัทเป้าหมาย
- สร้างตัวตนปลอม: AI ช่วยสร้างโปรไฟล์ "เจ้าหน้าที่สรรหาบุคลากร" ที่ดูเป็นมืออาชีพ เพื่อส่งอีเมลหลอกลวง (Phishing) โดยใช้เรื่องการสมัครงานและเงินเดือนมาล่อลวงเหยื่อ

2. เทคนิคการ "ตบตา" AI เพื่อสร้างมัลแวร์
รายงานระบุว่า แฮกเกอร์มักใช้วิธี Persona-based Tricks หรือการสั่งงาน (Prompt) โดยอ้างว่าเป็น "นักวิจัยด้านความปลอดภัย" หรือ "ผู้เข้าแข่งขันทักษะด้านไซเบอร์ (CTF)" เพื่อหลอกให้ AI ข้ามขีดจำกัดด้านความปลอดภัยและช่วยเขียนโค้ดอันตรายให้

3. HONESTCUE มัลแวร์ยุคใหม่ที่คุยกับ AI โดยตรง
สิ่งที่น่ากังวลที่สุดในรายงานนี้คือการค้นพบมัลแวร์ HONESTCUE ซึ่งมีความล้ำสมัยดังนี้

- เรียกใช้ API: มัลแวร์ตัวนี้จะส่งคำสั่งไปยัง Gemini API โดยตรงเพื่อขอซอร์สโค้ดภาษา C #
- รันโค้ดในหน่วยความจำ (Fileless): เมื่อได้โค้ดจาก AI มาแล้ว มัลแวร์จะทำการคอมไพล์และรันในหน่วยความจำทันที โดยไม่ทิ้งร่องรอยไว้บนฮาร์ดดิสก์ ทำให้การตรวจจับโดยแอนตี้ไวรัสทั่วไปทำได้ยากมาก

4. สรุปความเคลื่อนไหวของกลุ่มแฮกเกอร์อื่นๆ
ไม่ได้มีแค่เกาหลีเหนือเท่านั้น แต่กลุ่มแฮกเกอร์จากจีนและอิหร่านก็มีการขยับตัวเช่นกัน

- กลุ่มจากจีน (เช่น APT41, Mustang Panda): ใช้ AI ช่วยวิเคราะห์ช่องโหว่ของระบบและดีบั๊กโค้ดเจาะระบบให้สมบูรณ์มากขึ้น
- กลุ่มจากอิหร่าน (APT42): ใช้ AI สร้าง Social Engineering ที่ซับซ้อน และเขียนสคริปต์ดึงข้อมูลจาก Google Maps

5. การตอบโต้จาก Google และก้าวต่อไปของระบบป้องกัน
Steve Miller หัวหน้าฝ่ายภัยคุกคาม AI ของ Google ยืนยันว่า บริษัทกำลังพัฒนาระบบตรวจจับ (Classifiers) ให้เท่าทันเล่ห์เหลี่ยมของแฮกเกอร์ โดย Gemini เวอร์ชั่นใหม่ๆ เริ่มจดจำทริคการปลอมตัวได้ดีมากขึ้น

บทสรุปสำหรับผู้ใช้งานและองค์กร

สงครามไซเบอร์ในอนาคตจะเป็นการสู้กันด้วยความเร็วของเครื่องจักร ผู้ป้องกันจำเป็นต้องลงทุนในเทคโนโลยี AI เพื่อใช้ในการตรวจจับและตอบโต้ภัยคุกคามที่รวดเร็วและซับซ้อนกว่าเดิมหลายเท่าตัว

Ref : https://thehackernews.com/2026/02/google-reports-state-backed-hackers.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner.

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com