เดือนเมษายนที่ผ่านมา โลกไซเบอร์เผชิญความท้าทายและภัยคุกคามหลากหลายรูปแบบ จากรายงาน Cyber Monthly Roundup ของ ThaiCERT พบว่าภัยคุกคามไซเบอร์มีแนวโน้มซับซ้อนและแพร่กระจายมากขึ้น โดยสามารถแบ่งออกเป็นหมวดหมู่หลัก ได้แก่ ช่องโหว่ในระบบความปลอดภัย, มัลแวร์ใหม่ๆ, การโจมตีและข้อมูลรั่วไหล, การเคลื่อนไหวของกลุ่มแฮกเกอร์ และข่าวทั่วไปด้านความปลอดภัยไซเบอร์ มาดูกันว่าจากรายงานมีภัยคุกคามสำคัญอะไรบ้างที่องค์กรและบุคคลทั่วไปควรตระหนัก
ช่องโหว่ในระบบความปลอดภัย (Vulnerabilities)
เดือนเมษายนนี้ มีการค้นพบช่องโหว่สำคัญในผลิตภัณฑ์ขององค์กรเทคโนโลยีชั้นนำหลายแห่ง ที่โดดเด่นเช่น CVE-2024-20439 ที่ CISA เพิ่มเข้าในรายการ Known Exploited Vulnerabilities (KEV) เนื่องจากพบการฝังรหัสผ่านแอดมินไว้ในระบบ ซึ่งผู้โจมตีสามารถเข้าถึง API ของเน็ตเวิร์ค ด้วยสิทธิ์แอดมินได้
นอกจากนี้ Microsoft ยังเตือนเกี่ยวกับช่องโหว่ร้ายแรงในไดรเวอร์พรินเตอร์บางรุ่น (CVE-2025-1268) ที่อาจถูกใช้เรียกโค้ดอันตรายผ่านแอปพลิเคชันเฉพาะได้ หรือกลุ่ม Kimsuky ใช้ช่องโหว่ BlueKeep (CVE-2019-0708) ในการเจาะระบบเป้าหมายในเกาหลีใต้และญี่ปุ่น
ที่น่ากังวลไม่แพ้กันคือช่องโหว่ในผลิตภัณฑ์ของ Ivanti หลายรายการที่ CISA เพิ่มเข้าใน KEV Catalog หลังพบถูกใช้โจมตีผลิตภัณฑ์ Connect Secure, Policy Secure และ Neurons for ZTA Gateways ช่องโหว่นี้เป็นแบบ stack-based buffer overflow สามารถถูกใช้เพื่อรันโค้ดจากระยะไกลโดยไม่ต้องยืนยันตัวตน
มัลแวร์ (Malware)
ในแวดวงมัลแวร์ พบการกลับมาของมัลแวร์โทรจัน Triada ในเวอร์ชันใหม่ที่ถูกฝังมาพร้อมกับสมาร์ตโฟน Android ปลอม ซึ่งทำงานทันทีที่มีการตั้งค่าเครื่องครั้งแรก ขณะที่มัลแวร์โทรจัน Crocodilus ก็ถูกตรวจพบว่ากำลังโจมตีผู้ใช้ Android โดยใช้เทคนิคควบคุมระยะไกล บันทึกหน้าจอ และโจมตีแบบซ้อนทับเพื่อขโมยข้อมูลธนาคารและกระเป๋าเงินดิจิทัล
CISA ยังเตือนเกี่ยวกับมัลแวร์ RESURGE ที่กำลังโจมตีช่องโหว่ใน Ivanti Connect Secure ทำหน้าที่เป็นทั้ง rootkit, dropper, backdoor และ tunneler เพื่อเข้าถึงระบบโดยไม่ถูกตรวจจับ
มัลแวร์ใหม่อีกชนิดคือ SuperCard X ที่ใช้เทคนิค NFC relay attack ขโมยข้อมูลบัตรเครดิตผ่านโทรศัพท์มือถือ โดยมักเริ่มต้นจากการส่ง SMS หลอกลวงให้ติดต่อธนาคารปลอม ซึ่งจะหลอกให้ติดตั้งแอพมัลแวร์ที่จะอ่านข้อมูลชิปบัตรเมื่อมีการแตะบัตรที่โทรศัพท์
ที่น่าตกใจคือการพบโทรศัพท์ Android ราคาถูกที่มาพร้อมมัลแวร์ในแอป WhatsApp และ Telegram ดัดแปลง ที่สามารถเปลี่ยนที่อยู่กระเป๋าเงินดิจิทัลที่ผู้ใช้คัดลอกให้เป็นของผู้โจมตีโดยอัตโนมัติ
การโจมตีและข้อมูลรั่วไหล (Data Breaches/Leaks/Hacks)
เหตุการณ์ข้อมูลรั่วไหลที่สำคัญในเดือนนี้ได้แก่กรณี Oracle ที่ยืนยันการรั่วไหลของข้อมูลจากระบบ Cloud ของพวกเขา แม้บริษัทจะพยายามลดทอนความรุนแรง แต่ข้อมูลที่ถูกเข้าถึงรวมถึง credentials ของผู้ใช้มากกว่า 140,000 ราย
Office of the Comptroller of the Currency (OCC) ของกระทรวงการคลังสหรัฐฯ เปิดเผยว่าเกิดเหตุข้อมูลรั่วไหลผ่านบัญชีแอดมินที่ถูกโจมตี โดยที่เหตุการณ์นี้ดำเนินมานานกว่า 1 ปีโดยไม่ถูกตรวจพบ
Blue Shield of California ทำข้อมูลสุขภาพสมาชิกกว่า 4.7 ล้านรายรั่วไหลไปยัง Google เนื่องจากการตั้งค่า Google Analytics ผิดพลาด ส่วน MTN Group ยักษ์ใหญ่โทรคมนาคมแอฟริกาใต้ ยืนยันเหตุการณ์ข้อมูลส่วนบุคคลของลูกค้ารั่วไหล แต่ยังไม่เปิดเผยรายละเอียดมากนัก
แคมเปญฟิชชิ่งที่น่าสนใจคือกรณีผู้ใช้งานปลั๊กอิน WooCommerce ถูกหลอกให้ดาวน์โหลด “patch” เพื่ออุดช่องโหว่ปลอม แต่แท้จริงคือการติดตั้ง backdoor เพื่อควบคุมเว็บไซต์ และพบแคมเปญฟิชชิ่ง SMS หลอกให้ชำระเงินค่าทางด่วน E-ZPass ที่มีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง
กลุ่มแฮกเกอร์และภัยคุกคามขั้นสูง (Hacker/APT)
กลุ่มแฮกเกอร์ที่มีการเคลื่อนไหวสำคัญคือ ToddyCat ที่ใช้ช่องโหว่ในซอฟต์แวร์ป้องกันไวรัสของ ESET (CVE-2024-11859) เพื่อแอบติดตั้งมัลแวร์ TCESB ซึ่งสามารถปิดการแจ้งเตือนและเข้าควบคุมระบบโดยไม่ถูกตรวจจับ
Mustang Panda กลุ่ม APT จากจีน เพิ่มเครื่องมือใหม่ 4 รายการในคลังแสงของตน ได้แก่ keylogger 2 รายการ (PAKLOG และ CorKLOG), เครื่องมือ StarProxy สำหรับโจมตีในเครือข่าย และ SplatCloak ไดรเวอร์สำหรับหลบเลี่ยงระบบตรวจจับมัลแวร์
ที่น่ากังวลคือการปรากฏตัวของกลุ่ม APT ใหม่ชื่อ Earth Kurma ที่กำลังโจมตีหน่วยงานรัฐบาลและองค์กรโทรคมนาคมในภูมิภาคเอเชียตะวันออกเฉียงใต้ รวมถึงไทย โดยใช้ custom malware, rootkits และบริการ cloud storage เพื่อจารกรรมข้อมูล
ข่าวทั่วไปด้านความมั่นคงปลอดภัยไซเบอร์ (General News)
มาตรการเก็บภาษีนำเข้าของสหรัฐฯ อาจกระตุ้นการโจมตีทางไซเบอร์ทั่วโลกให้เพิ่มขึ้น โดยเฉพาะหากนำไปสู่ภาวะเศรษฐกิจถดถอย ซึ่งทำให้องค์กรต่างๆ ลดงบประมาณด้านความปลอดภัย
เครือข่าย Scallywag ซึ่งเป็นปลั๊กอิน WordPress สร้างทราฟฟิกโฆษณาหลอกกว่า 1.4 ล้านครั้งต่อวัน ผ่านเว็บไซต์ละเมิดลิขสิทธิ์และบริการย่อ URL โดยสร้างรายได้จากค่าโฆษณา
Google ประกาศยกเลิกการแสดงกล่องแจ้งเตือนคุกกี้แบบแยกต่างหากใน Chrome และเลื่อนการเปิดตัวฟีเจอร์การป้องกัน IP ในโหมด Incognito ออกไป
รายงานจาก UNODC เผยว่าเครือข่ายอาชญากรรมไซเบอร์ในเอเชียได้ขยายอิทธิพลไปทั่วโลก ดำเนินกิจการในลักษณะ “อุตสาหกรรมไซเบอร์” สร้างรายได้มหาศาลจากการหลอกลวงและฉ้อโกงออนไลน์
ที่น่ากังวลคือพบว่ามากกว่าครึ่งของอุปกรณ์พกพาทั่วโลกยังคงใช้ระบบปฏิบัติการเวอร์ชันเก่า ทำให้เกิดความเสี่ยงอย่างมากต่อการโจมตีทางไซเบอร์ โดย 50% ของอุปกรณ์ใช้ระบบปฏิบัติการที่ล้าสมัย และกว่า 25% ไม่สามารถอัปเกรดเป็นเวอร์ชันใหม่ได้
บทสรุปและแนวทางการป้องกัน
จากภาพรวมภัยคุกคามที่พบในเดือนเมษายน 2025 แสดงให้เห็นว่าทั้งองค์กรและบุคคลทั่วไปต้องเพิ่มความระมัดระวังในหลายด้าน:
องค์กรควรเร่งอัปเดตระบบและแก้ไขช่องโหว่โดยเร็ว โดยเฉพาะช่องโหว่ที่ถูกเพิ่มในรายการ KEV ของ CISA
ระมัดระวังการติดตั้งแอปจากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะบนอุปกรณ์มือถือ
ตรวจสอบอุปกรณ์ IoT และเราเตอร์ให้ใช้เฟิร์มแวร์เวอร์ชันล่าสุด
เพิ่มความระมัดระวังกับอีเมลและข้อความที่เข้ามาหลอกลวงให้หลงเชื่อ
พิจารณาใช้ระบบตรวจจับภัยคุกคามแบบเรียลไทม์ทั้งบนเครือข่ายองค์กรและอุปกรณ์ส่วนตัว
ในยุคที่ภัยคุกคามไซเบอร์มีความซับซ้อนและมีวิวัฒนาการอย่างรวดเร็ว การรู้เท่าทันและเตรียมความพร้อมจึงเป็นกุญแจสำคัญในการป้องกันตนเองและองค์กรจากภัยคุกคามเหล่านี้
ขอขอบคุณข้อมูลจาก ThaiCERT และ NCSA Thailand สำหรับรายงาน Cyber Monthly Roundup ประจำเดือนเมษายน 2025 ที่รวบรวมข้อมูลอันมีค่าเกี่ยวกับภัยคุกคามและช่องโหว่ล่าสุด ผู้อ่านสามารถติดตามรายละเอียดเพิ่มเติมรวมถึงคำแนะนำในการรับมือภัยคุกคามเฉพาะด้านได้ที่ Link
Reference:ข่าวด้านไซเบอร์ฉบับรายเดือเมษายน 2568 / Cyber Monthly Round Up April 2025
