Skip to content

สรุปประเด็นสำคัญจาก Cyber Monthly Round Up March 2025 โดย ThaiCERT

Feature Image Prospace B 1146600

Loading

สรุปประเด็นสำคัญจาก Cyber Monthly Round Up March 2025 โดย ThaiCERT

ในช่วงเดือนมีนาคม 2025 ที่ผ่านมา ภัยคุกคามทางไซเบอร์ยังคงมีพัฒนาการและความรุนแรงเพิ่มขึ้นอย่างต่อเนื่อง จากข้อมูลของ ThaiCERT ที่รวบรวมโดย NCSA Thailand พบว่ามีการโจมตีที่น่าสนใจหลายรูปแบบ ทั้งช่องโหว่ที่ถูกใช้งาน มัลแวร์รูปแบบใหม่ การรั่วไหลของข้อมูล และกิจกรรมของกลุ่มแฮกเกอร์ที่เพิ่มความซับซ้อนมากขึ้น บทความนี้จะสรุปภาพรวมของภัยคุกคามสำคัญที่เกิดขึ้นในเดือนมีนาคมนี้ เพื่อให้องค์กรและหน่วยงานต่างๆสามารถเตรียมพร้อมรับมือได้อย่างเหมาะสม

ช่องโหว่สำคัญที่ถูกใช้ในการโจมตี (Vulnerabilities)

  1. ช่องโหว่ Zero-day ในไดรเวอร์ BioNTdrv.sys ของ Paragon Partition Manager – กลุ่มแรนซัมแวร์ได้ใช้ช่องโหว่นี้เพื่อโจมตีระบบและยกระดับสิทธิ์ โดยช่องโหว่ CVE-2025-0289 เป็นหนึ่งในห้าช่องโหว่ที่อันตรายมาก ช่วยให้แฮกเกอร์สามารถหลีกเลี่ยง Windows Vulnerable Driver Blocklist
  2. Cisco แก้ไขช่องโหว่ในสวิตช์ Nexus – พบช่องโหว่ที่ส่งผลกระทบต่ออุปกรณ์ Nexus 3000 และ 9000 ซีรีส์ ทำให้เกิดการโจมตีแบบ DoS และ Command Injection โดยช่องโหว่ CVE-2025-20111 และ CVE-2025-20161 ได้รับการแก้ไขแล้ว
  3. ช่องโหว่ Zero-Day ใน VMware ESX – Broadcom ได้แก้ไขช่องโหว่สามรายการใน VMware ESX ที่อนุญาตให้ผู้โจมตีหลบหลีกระบบ Sandbox และเข้าถึงโฮสต์ได้ โดยเฉพาะช่องโหว่ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ที่มีความรุนแรงสูง
  4. Microsoft Patch Tuesday มีนาคม 2025 – ไมโครซอฟท์ได้แก้ไขช่องโหว่ Zero-Day 6 รายการจากทั้งหมด 56 รายการ โดยเฉพาะช่องโหว่ CVE-2025-24983 ที่ถูกใช้โจมตีตั้งแต่ปี 2023 ผ่านมัลแวร์ PipeMagic Backdoor
  5. SSRF ในโอเพนซอร์สที่พัฒนาโดยชาวจีน – พบช่องโหว่ Server-Side Request Forgery (SSRF) ใน ChatGPT เวอร์ชันโอเพนซอร์สที่พัฒนาโดยชาวจีน ทำให้แฮกเกอร์สามารถเข้าถึงระบบได้ โดยช่องโหว่นี้ส่งผลกระทบต่อหลายองค์กรทั่วโลก
  6. ช่องโหว่ในกล้อง Edimax – พบช่องโหว่ OS command injection (CVE-2025-1316) ในกล้อง Edimax IC-7100 ที่ถูกใช้ในการแพร่กระจาย Mirai Botnet ตั้งแต่เดือนพฤษภาคม 2024

Google แก้ไขช่องโหว่ Zero-Day แรกของ Chrome ในปี 2025 – พบช่องโหว่ CVE-2025-2783 ในระบบ IPC ที่ใช้ควบคุมการสื่อสารระหว่างโปรเซส ซึ่งได้รับการแก้ไขแล้วใน Chrome เวอร์ชัน 134.0.6998.177/178

ภัยคุกคามจากมัลแวร์ (Malware)

  1. แพ็คเกจอันตรายกว่า 1,000 รายการใน Open Source – FortiGuard Labs พบแพ็คเกจอันตรายมากกว่า 1,000 รายการที่ใช้เทคนิคต่างๆ เพื่อหลีกเลี่ยงการตรวจจับ รวมถึงการใช้มัลแวร์ Python และ Node.js ในการขโมยข้อมูล
  2. PyPI มัลแวร์แฝงขโมยข้อมูลคลาวด์ – พบมัลแวร์ปลอมใน Python Package Index (PyPI) ที่ถูกดาวน์โหลดมากกว่า 14,100 ครั้ง โดยมุ่งเป้าไปที่การเข้าถึงข้อมูลคลาวด์ของบริษัทใหญ่อย่าง Alibaba Cloud, AWS และ Tencent Cloud
  3. StilahciRAT มัลแวร์ที่หลบเลี่ยงการตรวจจับ – Microsoft พบมัลแวร์ Remote Access Trojan ที่ใช้เทคนิคซับซ้อนในการขโมยข้อมูลสำคัญ เช่น ข้อมูลกระเป๋าเงินดิจิทัล โดยใช้ WMI Query Language และมีกลไกหลบเลี่ยงการตรวจจับที่ซับซ้อน
  4. มัลแวร์ Android ที่ใช้ .NET MAUI – แฮกเกอร์ใช้เครื่องมือพัฒนาแอปพลิเคชัน .NET MAUI ของไมโครซอฟท์ในการพัฒนามัลแวร์ Android ที่มีความสามารถหลบเลี่ยงการตรวจจับและสามารถทำงานข้ามแพลตฟอร์มได้
  5. Phishing-as-a-Service รุ่นใหม่ – พบแพลตฟอร์ม Phishing-as-a-Service ชื่อ “Morphing Meerkat” ที่สามารถเลียนแบบหน้าเข้าสู่ระบบของแบรนด์ต่างๆ ได้ถึง 114 แบรนด์ โดยใช้ DNS MX records เพื่อหลีกเลี่ยงระบบป้องกัน

การรั่วไหลและการละเมิดข้อมูล (Data Breaches/Leaks/Hacks)

  1. กลุ่ม Qilin โจมตี Lee Enterprises – กลุ่มแรนซัมแวร์อ้างว่าได้ขโมยข้อมูลจากบริษัทสื่อใหญ่ของสหรัฐฯ พร้อมขู่เปิดเผยข้อมูลทั้งหมดหากไม่จ่ายค่าไถ่ ข้อมูลประกอบด้วยบัตรประชาชน NDA และเอกสารทางการเงิน
  2. RansomHouse โจมตีโรงพยาบาล Loretto ในชิคาโก – กลุ่ม data extortion โจมตีและขโมยข้อมูลขนาด 1.5TB จากโรงพยาบาลไม่แสวงหากำไรในชิคาโก ซึ่งให้บริการด้านสุขภาพมาตั้งแต่ปี 1939
  3. CISA เตือนภัยแรนซัมแวร์ Medusa – หน่วยงานความมั่นคงปลอดภัยของสหรัฐฯ เตือนเกี่ยวกับแรนซัมแวร์ Medusa ที่โจมตีโครงสร้างพื้นฐานสำคัญกว่า 300 แห่ง โดยเรียกค่าไถ่สูงถึง 1 ล้านดอลลาร์
  4. แคมเปญ OAauth หลอกนักพัฒนาบน GitHub – พบแคมเปญฟิชชิ่งใช้การแจ้งเตือนความปลอดภัยปลอมเพื่อหลอกให้นักพัฒนาอนุมัติแอป OAuth ที่เป็นอันตราย ทำให้แฮกเกอร์เข้าถึงข้อมูลสำคัญได้
  5. รัฐยัปในไมโครนีเซียถูกโจมตีด้วยแรนซัมแวร์ – ระบบสาธารณสุขของรัฐยัป ประเทศไมโครนีเซีย ถูกโจมตีด้วยแรนซัมแวร์ส่งผลให้ระบบคอมพิวเตอร์และเครือข่ายต้องปิดทั้งหมด
  6. มัลแวร์ Infostealers ขโมยข้อมูล 2.1 พันล้านรายการในปี 2024 – รายงานจาก Flashpoint พบว่ามัลแวร์ประเภท Infostealers ได้ขโมยข้อมูลบัญชีผู้ใช้กว่า 2.1 พันล้านรายการในปี 2024 โดยมุ่งเป้าที่ระบบปฏิบัติการ Windows เป็นหลัก (70%)
  7. อังกฤษปรับเงินบริษัทผู้ให้บริการซอฟต์แวร์ 135 ล้านบาท – ICO ประกาศปรับบริษัท Advanced Computer Software Group Ltd หลังเกิดเหตุโจมตีด้วยแรนซัมแวร์ในปี 2022 ที่ทำให้ข้อมูลส่วนบุคคลของผู้คนกว่า 79,404 ราย รวมทั้งผู้ป่วยในระบบ NHS รั่วไหล กลุ่ม LockBit เป็นผู้ก่อเหตุโดยใช้ช่องโหว่จากการเข้าสู่ระบบ Remote Desktop Protocol บนเซิร์ฟเวอร์ Citrix

4. Social Engineering: ศิลปะการหลอกลวงที่เหมือนจริง

  1. แก๊งแรนซัมแวร์ Akira ใช้เว็บแคมที่ไม่ปลอดภัย – กลุ่ม Akira ใช้ช่องโหว่ในเว็บแคมที่ไม่มีการป้องกันเพื่อหลีกเลี่ยงระบบ Endpoint Detection and Response (EDR) โดยใช้เครื่องมืออย่าง AnyDesk และ RDP ในการโจมตี
  2. กลุ่ม Ransomware ใหม่ทวีจำนวนในปี 2025 – พบกลุ่มแรนซัมแวร์ใหม่เพิ่มขึ้นจาก 68 กลุ่มในปี 2023 เป็น 95 กลุ่มในปี 2024 โดยกลุ่มที่น่าจับตามองคือ RansomHub, Fog และ Lynx ซึ่งมีกิจกรรมการโจมตีเพิ่มขึ้นอย่างมีนัยสำคัญ
  3. กลุ่ม Lazarus ใช้ npm แพร่มัลแวร์ – กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือใช้เทคนิค “typosquatting” สร้างแพ็คเกจ npm ปลอมที่มีชื่อคล้ายกับแพ็คเกจยอดนิยม เพื่อขโมยข้อมูลการเข้าสู่ระบบและข้อมูลสกุลเงินดิจิทัล
  4. เทคนิค ClickFix เป็นที่นิยมในกลุ่มอาชญากรไซเบอร์และ APT – เทคนิคการหลอกลวงทางวิศวกรรมสังคมที่ใช้โค้ด JavaScript บนหน้าเว็บปลอม กำลังเป็นที่นิยมในกลุ่ม APT และอาชญากรไซเบอร์ โดยเฉพาะกลุ่ม MuddyWater และ APT28
  5. Cloak Ransomware โจมตีสำนักงานอัยการรัฐเวอร์จิเนีย – กลุ่มนี้อ้างความรับผิดชอบต่อการโจมตีไซเบอร์ที่เกิดขึ้นกับสำนักงานอัยการรัฐเวอร์จิเนีย โดยขโมยข้อมูล 134GB และเผยแพร่บนเว็บไซต์ Tor

ข่าวทั่วไปด้านความมั่นคงปลอดภัยไซเบอร์ (General News)

  1. การใช้ QR Code ในการหลอกลวง – มีการเตือนภัยเกี่ยวกับอาชญากรที่ใช้ QR Code เป็นเครื่องมือในการหลอกลวงและขโมยข้อมูลส่วนตัว โดยเรียกเทคนิคนี้ว่า “QR phishing” หรือ “quishing”
  2. สหรัฐฯ ยึดเงินคริปโตกว่า 31 ล้านดอลลาร์จากการแฮก Uranium Finance – กระทรวงยุติธรรมสหรัฐฯ ประกาศการยึดเงินคริปโตที่ถูกขโมยจาก Uranium Finance ในปี 2021 มูลค่ากว่า 31 ล้านดอลลาร์
  3. Most Inspiring Women in Cyber Awards 2025 – การประกาศรางวัลเพื่อยกย่องผู้หญิงผู้สร้างแรงบันดาลใจในวงการไซเบอร์ โดยมีผู้ได้รับรางวัลจากหลากหลายองค์กรและสาขา
  4. องค์กรส่วนใหญ่ได้รับผลกระทบจาก AI-powered attacks – รายงานแนวโน้มพบว่า 87% ขององค์กรทั่วโลกเผชิญกับการโจมตีที่ขับเคลื่อนด้วย AI ในปีที่ผ่านมา แต่มีเพียง 26% ของผู้เชี่ยวชาญที่มั่นใจในระบบป้องกัน
  5. สหรัฐฯ ยึด Garantex หลังพบเชื่อมโยงการฟอกเงินผ่านคริปโต – กระทรวงยุติธรรมสหรัฐฯ ปิดแพลตฟอร์ม Garantex ซึ่งเป็น Cryptocurrency Exchange ที่ถูกกล่าวหาว่าเกี่ยวข้องกับการฟอกเงิน
  6. Cloudflare ปิดการเชื่อมต่อ HTTP ยอมรับเฉพาะ HTTPS – Cloudflare ประกาศปิดการเชื่อมต่อผ่านโปรโตคอล HTTP สำหรับ api.cloudflare[.]com โดยสมบูรณ์ เพื่อบังคับใช้เฉพาะ HTTPS ที่มีการเข้ารหัสข้อมูลเท่านั้น
  7. FBI และ DOJ ยึดคริปโต 8.2 ล้านดอลลาร์จากขบวนการ Romance Baiting Fraud – หน่วยงานบังคับใช้กฎหมายสหรัฐฯ ยึดเงินจากขบวนการหลอกลวงแบบ “pig butchering scam” โดยใช้เทคโนโลยี blockchain intelligence ในการติดตามเส้นทางการเงิน

บทสรุปและแนวทางการป้องกัน

จากบทสรุปข้างต้นเกี่ยวกับภัยคุกคามในเดือนมีนาคม 2025 พบว่ามีแนวโน้มสำคัญหลายประการที่องค์กรควรให้ความสนใจ แอดมินมีบทสรุปและแนวทางป้องกันดังนี้

การโจมตีที่ขับเคลื่อนด้วย AI – องค์กรควรลงทุนในโซลูชัน AI สำหรับตรวจจับพฤติกรรมผิดปกติ ซึ่งสามารถวิเคราะห์รูปแบบการโจมตีและปรับตัวตามภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา การใช้ระบบยืนยันตัวตนหลายชั้น (MFA) และการฝึกอบรมพนักงานอย่างสม่ำเสมอจะช่วยเสริมความแข็งแกร่งของระบบป้องกันไซเบอร์ขององค์กรได้อย่างมีประสิทธิภาพ

แรนซัมแวร์ – ภัยคุกคามนี้ยังคงวิวัฒนาการต่อเนื่องโดยเฉพาะการใช้กลยุทธ์ double extortion ที่ไม่เพียงเข้ารหัสข้อมูลแต่ยังขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่ องค์กรควรใช้กลยุทธ์สำรองข้อมูลที่เหมาะสม อัปเดตระบบอย่างสม่ำเสมอ และพัฒนาแผนรับมือเหตุการณ์ที่ครอบคลุมทั้งการกู้คืนข้อมูลและการจัดการวิกฤตด้านชื่อเสียง

มัลแวร์ใน open-source – แฮกเกอร์ใช้ช่องว่างจากความไว้วางใจในซอฟต์แวร์โอเพนซอร์สเป็นช่องทางในการกระจายมัลแวร์โดยเฉพาะใน PyPI และ npm ที่มีการดาวน์โหลดหลายพันครั้ง องค์กรควรใช้เครื่องมือ Software Composition Analysis เพื่อตรวจสอบแพ็คเกจอย่างละเอียด รวมถึงใช้ repository ส่วนตัวที่มีการคัดกรองและระมัดระวังเทคนิค “typosquatting” ที่อาศัยความคล้ายคลึงของชื่อแพ็คเกจเพื่อหลอกลวงนักพัฒนา

Social engineering – การโจมตีด้วย Social Engineering ยังคงเป็นเครื่องมือหลักของแฮกเกอร์ด้วยรูปแบบที่ซับซ้อนขึ้นเช่นการใช้ QR Code ปลอมและการปลอมแปลงคำขออนุมัติ OAuth องค์กรควรจัดฝึกอบรมความตระหนักด้านความปลอดภัยที่ทันสมัยและต่อเนื่อง พร้อมทั้งดำเนินการทดสอบฟิชชิ่งจำลองเพื่อประเมินความพร้อมและสร้างวัฒนธรรมความปลอดภัยที่แข็งแกร่งทั่วทั้งองค์กร

การเข้ารหัสข้อมูล – องค์กรควรกำหนดการใช้ TLS 1.3 และ HSTS ควบคู่กับการจัดหมวดหมู่ข้อมูลตามระดับความสำคัญและการบริหารจัดการใบรับรองดิจิทัลอย่างเป็นระบบเพื่อป้องกันการรั่วไหลของข้อมูลและการโจมตีแบบ Man-in-the-Middle

ในยุคที่ภัยคุกคามไซเบอร์มีวิวัฒนาการอย่างรวดเร็ว การติดตามข้อมูลข่าวสารอย่างต่อเนื่องและการลงทุนในมาตรการป้องกันแบบองค์รวมจะช่วยให้องค์กรรับมือกับความท้าทายด้านความปลอดภัยได้อย่างมีประสิทธิภาพ การพัฒนากลยุทธ์ความปลอดภัยไซเบอร์ที่ครอบคลุมทั้งด้านบุคลากร กระบวนการ และเทคโนโลยีเป็นสิ่งจำเป็นในการสร้างความยืดหยุ่นและความพร้อมต่อภัยคุกคามที่หลากหลายในปัจจุบัน

ขอขอบคุณข้อมูลจาก ThaiCERT และ NCSA Thailand สำหรับรายงาน Cyber Monthly Roundup ประจำเดือนมีนาคม 2025 ที่รวบรวมข้อมูลอันมีค่าเกี่ยวกับภัยคุกคามและช่องโหว่ล่าสุด ผู้อ่านสามารถติดตามรายละเอียดเพิ่มเติมรวมถึงคำแนะนำในการรับมือภัยคุกคามเฉพาะด้านได้ที่ Link ด้านล่าง

Reference:ข่าวด้านไซเบอร์ฉบับรายเดือนมีนาคม 2568 / Cyber Monthly Round Up March 2025