เมื่อ 2 ม.ค.68 เว็บไซต์ thehackernews รายงานว่าพบกลุ่มแฮ็กเกอร์ที่ชื่อว่า Transparent Tribe (หรือรู้จักในชื่อ APT36) โจมตีหน่วยงานรัฐบาล และสถาบันการศึกษา ประเทศอินเดีย โดยใช้มัลแวร์ประเภท Remote Access Trojan (RAT) ควบคุมโฮสต์ที่ถูกโจมตีได้อย่างถาวร กลุ่มแฮ็กเกอร์ Transparent Tribe หรือที่รู้จักกันในชื่อ APT36 เป็นกลุ่มที่ขึ้นชื่อเรื่องการจารกรรมข้อมูลทางไซเบอร์องค์กรต่าง ๆ ในอินเดีย กลุ่มนี้ได้รับการประเมินว่ามีผู้สนับสนุนเชื่อมโยงปากีสถาน และเริ่มปฏิบัติการมาตั้งแต่ปี 2556 โดยใช้มัลแวร์ RAT ที่มีความฉลาดในการ “เลือกที่อยู่” ตามยี่ห้อ Antivirus (Adaptive Persistence)

มัลแวร์จะเช็คโปรแกรมในเครื่องและเลือกวิธีฝังตัวให้รอดพ้นการถูกลบ ดังนี้:

• ถ้าเจอ Kaspersky: มันจะแอบสร้างโฟลเดอร์ทำงานไว้ลึกๆ (C:\Users\Public\core\) เขียนสคริปต์ที่ซ่อนโค้ด (Obfuscated HTA) แล้วสร้าง Shortcut ในโฟลเดอร์ Startup เพื่อเรียกใช้งาน
• ถ้าเจอ Quick Heal: มันจะสร้างไฟล์ Batch (.bat) คู่กับ Shortcut ใน Startup เพื่อเรียกมัลแวร์ขึ้นมาทำงานอ้อมๆ
• ถ้าเจอ Avast, AVG, หรือ Avira: มันจะใช้วิธี “ลูกทุ่ง” คือก๊อปปี้ตัวเองไปวางดื้อๆ ในโฟลเดอร์ Startup เลย (อาจเพราะรู้ว่ายี่ห้อเหล่านี้ในเวอร์ชันที่เหยื่อใช้อาจไม่ได้บล็อกพฤติกรรมนี้)
• ถ้าไม่เจอ Antivirus เลย: มันจะใช้วิธีผสมผสาน ทั้งสร้างไฟล์ Batch และแก้ Registry เพื่อให้แน่ใจว่าเปิดเครื่องมาแล้วรันแน่นอน

สรุป

กลุ่มแฮ็กเกอร์ที่ชื่อว่า Transparent Tribe (หรือรู้จักในชื่อ APT36) ซึ่งได้เริ่มแคมเปญโจมตีทางไซเบอร์ครั้งใหม่ครับ โดยมีสรุปประเด็นสำคัญดังนี้:

เมื่อวันที่ 1 ม.ค.68 เว็บไซต์ mehnews.com รายงานรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ซัตตาร์ ฮาเชมี กล่าวว่า ประเทศอิหร่านเผชิญกับการโจมตีทางไซเบอร์ครั้งใหญ่ ที่มุ่งเป้าไปยังโครงสร้างพื้นฐานด้านการสื่อสารเมื่อปลายสัปดาห์ที่ผ่านมา พร้อมระบุว่าเป็นหนึ่งในการโจมตีครั้งใหญ่ที่สุดและส่งผลกระทบเป็นวงกว้่างที่สุดในรอบหลายปีที่ผ่านมา โดยเมื่อบ่ายวันอาทิตย์ ประเทศได้เผชิญกับการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดและกว้างขวางที่สุดครั้งหนึ่งต่อโครงสร้างพื้นฐานด้านการสื่อสาร การโจมตีมาจากแหล่งที่มามากกว่า 120,000 แห่งทั่วโลก และมุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมรายหนึ่งของประเทศโดยเฉพาะ

เหตุการณ์หลัก เมื่อช่วงบ่ายวันอาทิตย์ที่ 28 ธันวาคม 68 ประเทศอิหร่านเผชิญกับ การโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดในรอบหลายปี โดยมุ่งเป้าไปที่ผู้ให้บริการเครือข่ายโทรศัพท์มือถือรายหนึ่ง รายละเอียดความรุนแรง

• รูปแบบ: เป็นการโจมตีแบบ DDoS (การระดมส่งข้อมูลจำนวนมหาศาลเพื่อให้ระบบล่ม)
• ขนาด: มาจากแหล่งโจมตีทั่วโลกกว่า 120,000 แห่ง
• ความหนักหน่วง: มีปริมาณข้อมูลขยะสูงถึง 720 ล้านแพ็กเก็ตต่อวินาที ซึ่งถือว่ารุนแรงติดอันดับ 1 ใน 12 ของโลก ผลลัพธ์และการรับมือ
• ผลกระทบ: ทำให้อินเทอร์เน็ตช้าลงชั่วคราวเนื่องจากแบนด์วิดท์ถูกดึงไปใช้รับมือการโจมตี แต่ระบบหลัก ไม่ล่ม และไม่เกิดวิกฤต
• การป้องกัน: รัฐบาลอิหร่านระบุว่าสามารถป้องกันและขับไล่การโจมตีได้สำเร็จ 100% โดยอาศัยระบบป้องกันภายในประเทศร่วมกับความช่วยเหลือจากผู้ให้บริการอินเทอร์เน็ตระหว่างประเทศ

รัฐมนตรีกล่าวว่า อิหร่านจัดการกับภัยคุกคามทางไซเบอร์ในสองด้าน ทั้งจากภายนอกและภายในประเทศ “ในระดับภายนอก การโจมตีบางส่วนถูกควบคุมโดยใช้ศักยภาพของผู้ให้บริการอินเทอร์เน็ตระหว่างประเทศและอุปกรณ์ที่ติดตั้งอยู่นอกประเทศ อย่างไรก็ตาม การโจมตีส่วนใหญ่ผ่านด่านนั้นไปได้และได้รับการจัดการภายในประเทศ โดยอาศัยความสามารถของผลิตภัณฑ์ที่ผลิตในประเทศและศักยภาพของบริษัทโครงสร้างพื้นฐานด้านโทรคมนาคม” ฮาเชมีกล่าวเสริม

เมื่อ 1 ม.ค.68 เว็บไซต์ securityboulevard.com รายงานการคาดการณ์ 10 อันดับด้านความปลอดภัยไซเบอร์ (Cyber Security) ที่จะเกิดในปี 2026 ได้แก่ 1) AI ยกระดับการหลอกลวงแบบ Social Engineering 2) AI ช่วยในการค้นหาและโจมตีช่องโหว่รวดเร็วขึ้น 3) การใช้ AI ในองค์กรเพิ่มความเสี่ยงใหม่ ๆ 4) ลำดับความอันตรายของ Threat Actor เปลี่ยนไป 5) กลุ่ม Ransomware เปลี่ยนรูปแบบใหม่ 6) ภูมิรัฐศาสตร์เร่งการแข่งขันพัฒนาอาวุธไซเบอร์ 7) เกิดสงครามไซเบอร์แบบผสมผสาน 8) การรักษาความปลอดภัยไซเบอร์ด้วย AI มีบทบาทเพิ่มมากขึ้น 9) ธรรมาภิบาล AI กลายเป็นวาระสำคัญ และ 10) บทบาท CISO (ผู้บริหารระดับสูงด้านความปลอดภัย) เปลี่ยนไป

สรุป

ความมั่นคงปลอดภัยไซเบอร์ในปี 2026 จะถูกกำหนดบทบาทโดยปัญญาประดิษฐ์ (AI) ทั้งบทบาทของผู้โจมตี ผู้ป้องกัน เป้าหมาย และความคาดหวังของทุกคนที่เกี่ยวข้องด้านความมั่นคงปลอดภัยไซเบอร์ จะเปลี่ยนแปลงไปอย่างมาก เนื่องจากการนำ AI มาใช้และการให้บริการที่หลากหลายอย่างรวดเร็ว ทำให้เทคโนโลยีด้านความมั่นคงปลอดภัยไซเบอร์ต่าง ๆ ก้าวกระโดด ก่อให้เกิด ผู้ใช้ที่พบช่องโหว่สำหรับหลีกเลี่ยงการควบคุมความปลอดภัยไซเบอร์ในปัจจุบัน ละเมิดความปลอดภัยด้วย AI เพื่อความสพดวกสะบายของตนเอง ผู้โจมตีจะใช้เทคนิคที่เคยใช้ได้ผลมาแล้วผสมกับการขับเคลื่อนด้วย AI เพิ่มโอกาสในการประสบความสำเร็จในการโจมตี และในที่สุดฝ่ายป้องกันจะตามทันด้วยคุณสมบัติและการกรองการรักษาความปลอดภัยที่ดีขึ้นจาก AI ทั้งนี้ AI เป็นเครื่องมือที่น่าทึ่งสำหรับในปี 2026 ที่จะมีผลทำให้ความมั่นคงปลอดภัยไซเบอร์พบความเสี่ยงต่าง ๆ

เมื่อ 30 ธันวาคม 2025 โดย Security Affairs เผยกลุ่มแฮกเกอร์ระดับ APT อย่าง Mustang Panda ถูกตรวจพบว่ามีการปรับเปลี่ยนกลยุทธ์ โดยหันมาใช้เทคนิค Bring Your Own Vulnerable Driver (BYOVD) เพื่อหลบเลี่ยงการตรวจจับของ Endpoint Security จากการวิเคราะห์ล่าสุดพบว่า Mustang Panda ได้ใช้ Kernel Driver ที่มีลายเซ็นดิจิทัลถูกต้อง (Digitally Signed) แต่มีช่องโหว่ มาโหลดเข้าสู่ระบบปฏิบัติการ Windows เพื่อทำการปิดกั้นระบบรักษาความปลอดภัย และเปิดทางให้ติดตั้ง Rootkit และ Backdoor ที่ชื่อว่า “ToneShell”

เทคนิคนี้มีความอันตรายสูงเพราะ Windows จะยอมรับ Driver ที่มีลายเซ็นถูกต้องโดยอัตโนมัติ ทำให้มัลแวร์สามารถทำงานในระดับ Kernel (Ring 0) ได้ ซึ่งยากต่อการตรวจสอบและลบออก เป้าหมายหลักของการโจมตีระลอกนี้ยังคงเป็นหน่วยงานรัฐบาลและองค์กร NGO ในภูมิภาคเอเชียและยุโรป

บทสรุปผู้บริหาร (Executive Summary)

การค้นพบล่าสุดระบุว่า Mustang Panda ไม่ได้เพียงแค่อาศัย Malware ทั่วไป แต่มีการใช้ “เครื่องมือที่ถูกต้องตามกฎหมาย” เป็นอาวุธ (Living off the Land) โดยเฉพาะการนำ Driver ของซอฟต์แวร์ที่น่าเชื่อถือแต่มีช่องโหว่ มาใช้ปิดการทำงานของระบบความปลอดภัยในเครื่องเหยื่อ (Security Product Disabling) ทำให้สามารถยึดเครื่องและควบคุมจากระยะไกลได้สมบูรณ์

เมื่อวันที่ 29 ธันวาคม 2025 เว็บไซต์ bitsight เผยแพร่ข่าวพบช่องโหว่ CVE-2025-14847 หรือ “MongoBleed” ที่ยอมให้ผู้โจมตีที่ไม่ต้องระบุตัวตนสามารถอ่านข้อมูลในหน่วยความจำ (Heap Memory) ของเซิร์ฟเวอร์ MongoDB ได้จากระยะไกล ซึ่งสาเหตุเกิดจากการจัดการ Header ของข้อความที่ถูกบีบอัดด้วย zlib ผิดพลาด ทำให้เซิร์ฟเวอร์ส่งข้อมูลที่ไม่ได้ล้างค่าในหน่วยความจำกลับไปยังไคลเอนต์ ข้อมูลที่รั่วไหลอาจรวมถึง API Keys, รหัสผ่านที่ค้างในหน่วยความจำ หรือข้อมูลอ่อนไหวของแอปพลิเคชัน จากการสำรวจพบว่ามีอินสแตนซ์ MongoDB กว่า 87,000 แห่งที่เปิดสาธารณะและมีความเสี่ยงต่อการถูกโจมตีนี้ ปัจจุบันมีโค้ดตัวอย่างการโจมตี (Exploit code) เผยแพร่สู่สาธารณะแล้ว

ช่องโหว่นี้ได้รับรหัส CVE-2025-14847 หรือที่เรียกกันว่า “MongoBleed” มีความรุนแรงระดับ CVSS 8.7 เกิดจากการจัดการหน่วยความจำที่ผิดพลาดในไลบรารีการบีบอัดข้อมูล เมื่อเปิดใช้งานฟีเจอร์ zlib compression บน MongoDB

กลไกการเกิดช่องโหว่ (Technical Root Cause)

ช่องโหว่นี้เกิดขึ้นในคอมโพเนนต์การสื่อสารผ่านเครือข่ายของ MongoDB ที่รองรับการบีบอัดข้อมูลด้วย zlib โดยปัญหาอยู่ที่ฟังก์ชันการจัดการ “Malformed Compressed Packets” เมื่อผู้โจมตีส่งแพ็กเกจที่ระบุขนาดข้อมูล (Size Header) เกินกว่าความจริง ระบบจะพยายามตอบกลับข้อมูลจากหน่วยความจำในส่วนที่ไม่ได้ถูกจัดสรรไว้ (Uninitialized Heap Memory) ส่งผลให้ข้อมูลส่วนเกินเหล่านั้นรั่วไหลออกไปยังผู้ร้องขอ

เมื่อ 23 ธันวาคม 2568 พบแฮ็กเกอร์ใช้ช่องโหว่จากความน่าเชื่อถือของ Microsoft เพื่อหลอกลวงผู้ใช้งาน สรุปใจความสำคัญและสิ่งที่ต้องระวัง ดังนี้

1. รูปแบบการโจมตี (The Attack)

แฮ็กเกอร์กำลังใช้เทคนิคที่เรียกว่า TOAD (Telephone-Oriented Attack Delivery) โดยอาศัยโครงสร้างพื้นฐานที่ถูกต้องของ Microsoft ดังนี้:

• ใช้ Domain จริง: แฮ็กเกอร์สมัครบัญชี Microsoft Azure ซึ่งจะได้โดเมนเริ่มต้นเป็น .onmicrosoft.com โดยอัตโนมัติ
• สร้างคำเชิญ (Invite): แฮ็กเกอร์ส่ง “Microsoft Invite” ไปยังเหยื่อ ซึ่งดูเหมือนอีเมลแจ้งเตือนปกติจากระบบ Microsoft
• ฝังข้อความหลอกลวง: แทนที่จะแนบไฟล์ไวรัส พวกเขาเขียนข้อความในช่อง “Message” ของ Invite เพื่อหลอกให้เหยื่อ “โทรศัพท์” ไปหา Call Center ปลอม (เช่น อ้างว่ามีปัญหาเรื่องบิล หรือต้องยืนยันการสมัครสมาชิก)

2. ทำไมมันถึงอันตราย?

• ผ่านระบบความปลอดภัย: เนื่องจากอีเมลถูกส่งมาจากเซิร์ฟเวอร์ของ Microsoft จริงๆ (High Domain Reputation) ระบบกรองอีเมล (Email Gateway) ทั่วไปจึงมักจะมองว่าเป็นอีเมลที่ปลอดภัยและปล่อยผ่านเข้า Inbox
• ไม่ต้องคลิกก็โดน: เหยื่อไม่จำเป็นต้องกดรับคำเชิญ (Accept Invite) แค่เห็นอีเมลแจ้งเตือน ข้อความหลอกลวงก็ปรากฏให้เห็นในเนื้อหาอีเมลทันที

3. วิธีการป้องกัน (Mitigation)

บทความแนะนำว่าการบล็อกโดเมน .onmicrosoft.com ทั้งหมดนั้น ทำไม่ได้ เพราะจะไปกระทบกับการทำงานของผู้ดูแลระบบ (Admin) หรือคู่ค้าบางรายที่ใช้โดเมนนี้อย่างถูกต้อง