BAYCOMS

จุดเปลี่ยนครั้งสำคัญของวงการ Cybersecurity เมื่อ NIST ประกาศ "เลือก" วิเคราะห์ช่องโหว่ (CVE) เฉพาะที่วิกฤตเท่านั้น

ในโลกของความปลอดภัยทางไซเบอร์ ฐานข้อมูล NVD (National Vulnerability Database) ของสถาบัน NIST เปรียบเสมือนเข็มทิศหลักที่เหล่านักวิเคราะห์และผู้ดูแลระบบใช้เพื่อประเมินความเสี่ยง แต่ล่าสุดเข็มทิศนี้กำลังมีการเปลี่ยนแปลงครั้งใหญ่ที่ส่งผลกระทบต่อแนวทางการบริหารจัดการช่องโหว่ (Vulnerability Management) ของทุกองค์กรทั่วโลก

วิกฤต "ช่องโหว่ล้นมือ" เมื่อจำนวน CVE พุ่งสูงเกินต้านทาน

สาเหตุหลักของการเปลี่ยนแปลงนี้มาจากปริมาณรายงานช่องโหว่ (CVE) ที่ถูกส่งเข้ามาเพิ่มขึ้นอย่างมหาศาล มีข้อมูลสถิติระบุว่าในช่วงปี 2020 ถึง 2025 จำนวน CVE พุ่งสูงขึ้นถึง 263% และเฉพาะในช่วง 3 เดือนแรกของปี 2026 ปริมาณงานยังสูงกว่าปีที่แล้วถึง 1 ใน 3

แม้ในปี 2025 ที่ผ่านมา NIST จะเร่งสปีดจนสามารถวิเคราะห์ข้อมูลเชิงลึก (Enrichment) ได้มากถึง 42,000 รายการ (ซึ่งสูงที่สุดเป็นประวัติการณ์) แต่ก็ยังไม่ทันต่อจำนวนช่องโหว่ที่เกิดขึ้นใหม่ ทำให้เกิดปัญหา Backlog หรือรายการค้างคาจำนวนมาก

เกณฑ์ใหม่ "Risk-Based Prioritization" ใครคือกลุ่มที่ NIST จะให้ความสำคัญ

ตั้งแต่วันที่ 15 เมษายน 2026 เป็นต้นไป NIST จะไม่ทำการวิเคราะห์เพิ่มข้อมูล (Enrichment) ให้กับทุกช่องโหว่โดยอัตโนมัติอีกต่อไป แต่จะเลือกทำเฉพาะรายการที่เข้าเกณฑ์ "ความเสี่ยงเชิงระบบ" ดังนี้

1. CISA KEV List: ช่องโหว่ที่ปรากฏอยู่ในรายชื่อที่ยืนยันแล้วว่า "มีการถูกนำไปใช้โจมตีจริง"
2. Federal Software: ซอฟต์แวร์ที่ใช้งานภายในหน่วยงานรัฐบาลกลางสหรัฐฯ
3. Critical Software (ตามคำสั่ง EO 14028): ซอฟต์แวร์วิกฤตที่มีสิทธิ์การเข้าถึงสูง เช่น ระบบจัดการสิทธิ์ (Privileged Access), ระบบควบคุมเครือข่าย, ระบบที่คุมข้อมูลสำคัญ หรือระบบที่เกี่ยวข้องกับ Operational Technology (OT)

สำหรับช่องโหว่ที่ไม่เข้าเกณฑ์เหล่านี้ จะถูกติดป้ายสถานะว่า "Not Scheduled" (ไม่ได้กำหนดตารางเวลา) ซึ่งหมายความว่ามันจะยังคงมีชื่ออยู่ในฐานข้อมูล แต่จะไม่มีข้อมูลสำคัญอย่าง คะแนนความรุนแรง (CVSS), ประเภทจุดอ่อน (CWE) หรือรายชื่อซอฟต์แวร์ที่ได้รับผลกระทบ (CPE) จากทาง NIST

การเปลี่ยนแปลงที่สำคัญอื่นๆ ในการทำงานของ NVD

- ลดความซ้ำซ้อน: หากหน่วยงานผู้กำหนดหมายเลข (CNA) ให้คะแนนความรุนแรงมาอยู่แล้ว NIST จะไม่ทำคะแนนแยกออกมาอีกเพื่อความรวดเร็ว
- การวิเคราะห์ซ้ำ: จะเกิดขึ้นเฉพาะเมื่อมีการแก้ไขที่มี "ผลกระทบอย่างมีนัยสำคัญ" เท่านั้น
- เคลียร์ของเก่า: ช่องโหว่ที่ค้างอยู่ในระบบ (Backlog) ก่อนวันที่ 1 มีนาคม 2026 จะถูกย้ายไปหมวด "Not Scheduled" ทั้งหมด เว้นแต่จะอยู่ในรายชื่อ KEV ของ CISA
- ช่องทางพิเศษ: หากผู้ใช้เห็นว่าช่องโหว่ใดมีความสำคัญสูงแต่ถูกละเลย สามารถส่งอีเมลร้องขอได้ที่ nvd@nist[.]gov

มุมมองจากผู้เชี่ยวชาญ "ยุคสมัยของการทำแบบ Manual จบลงแล้ว"

Caitlin Condon จาก VulnCheck ให้ความเห็นว่า นี่คือการส่งสัญญาณว่าองค์กรต่างๆ จะพึ่งพาฐานข้อมูลเพียงแห่งเดียวไม่ได้อีกต่อไป เนื่องจากสภาพปัจจุบันต้องการการทำงานที่ "เร็วเท่าเครื่องจักร" (Machine-speed) และต้องใช้ Threat Intelligence เข้ามาช่วยตัดสินใจ

ในขณะที่ David Lindner จาก Contrast Security มองว่านี่คือจุดจบของยุคสมัยเก่า แต่เป็นจุดเริ่มต้นของการยกระดับอุตสาหกรรม ให้ผู้ดูแลระบบหันมาโฟกัสที่ "การเปิดรับความเสี่ยงที่เกิดขึ้นจริง" (Actual Exposure) แทนที่จะดูแค่คะแนนความรุนแรงในทางทฤษฎีเท่านั้น

บทสรุปสำหรับคนทำงานสาย Security

การประกาศของ NIST ในครั้งนี้คือเครื่องเตือนใจว่า "สิ่งที่เราไม่ให้ความสำคัญ ผู้โจมตีจะให้ความสำคัญแทนเราเสมอ" การปรับกลยุทธ์จากเดิมที่เน้นปิดทุกช่องโหว่ (Vulnerability-based) มาเป็นการเน้นช่องโหว่ที่มีความเสี่ยงต่อธุรกิจจริง (Risk-based) และการนำเครื่องมืออัตโนมัติมาใช้ จึงไม่ใช่ทางเลือกอีกต่อไป แต่เป็น "ทางรอด" ในปี 2026 นี้

Ref : https://thehackernews.com/2026/04/nist-limits-cve-enrichment-after-263.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com

สุขสันต์วันสงกรานต์ ขอให้ทุกท่านมีแต่ความสุข สนุกสดใส สุขสำราญ เบิกบานใจ คลายทุกข์โศก ปลอดโรค และพ้นภัย โชคดี มีความสุขตลอดปี

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd.
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com
#สงกรานต์2569

ภัยไซเบอร์รูปแบบใหม่ 'ClickFix' กลลวงสุดแยบยลที่เปลี่ยนเว็บจริงให้เป็นกับดักมัลแวร์

ทีมนักวิจัยด้านความปลอดภัยจาก Elastic Security Labs ได้ออกโรงเตือนถึงภัยคุกคามทางไซเบอร์รูปแบบใหม่ที่เรียกว่าแคมเปญ "ClickFix" ซึ่งมีความซับซ้อนและแนบเนียนเป็นอย่างมาก โดยจุดเด่นของแคมเปญนี้คือการที่แฮกเกอร์ไม่ได้สร้างเว็บไซต์ปลอมขึ้นมาหลอกๆ แต่เลือกที่จะ "แฮกเว็บไซต์ที่ถูกต้องตามกฎหมาย" เพื่อใช้เป็นสะพานเชื่อมในการหลอกลวงผู้ใช้งานให้ติดตั้งมัลแวร์ตัวใหม่ที่ชื่อว่า MIMICRAT (หรือ AstarionRAT)

นักวิจัยได้คาดการณ์ว่าเป้าหมายสูงสุดของการโจมตีครั้งนี้ คือการปูทางไปสู่การปล่อย "แรนซัมแวร์" (มัลแวร์เรียกค่าไถ่) หรือการขโมยข้อมูลสำคัญขององค์กร

กลโกงของ ClickFix ทำงานอย่างไร

ความน่ากลัวของ ClickFix คือการใช้เทคนิคจิตวิทยา (Social Engineering) หลอกให้เหยื่อเป็นคนลงมือเปิดประตูให้มัลแวร์เข้ามาในเครื่องด้วยตัวเอง โดยมีขั้นตอนดังนี้

1. ยึดเว็บไซต์จริงเป็นฐานที่มั่น แฮกเกอร์จะเจาะระบบเว็บไซต์ที่คนทั่วไปใช้งานตามปกติ (เช่น เว็บไซต์ตรวจสอบข้อมูลบัตรเครดิต bincheck.io) และแอบฝังสคริปต์อันตรายเอาไว้
2. สร้างสถานการณ์หลอกลวง เมื่อผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ดังกล่าว สคริปต์จะแสดงหน้าต่างแจ้งเตือนปลอมที่ดูแนบเนียนมาก เช่น ทำหน้าต่างหลอกว่ากำลังตรวจสอบระบบรักษาความปลอดภัยของ Cloudflare
3. หลอกให้เหยื่อทำตามคำสั่ง ซึ่งหน้าต่างปลอมนั้นจะแนะนำให้ผู้ใช้งานคัดลอกคำสั่งบางอย่าง แล้วนำไปวางในกล่องคำสั่ง Windows Run เพื่อแก้ไขปัญหาการเข้าเว็บ
4. เปิดประตูรับมัลแวร์ ทันทีที่ผู้ใช้งานรันคำสั่งนั้น ระบบจะแอบดาวน์โหลดชุดคำสั่งขั้นสูง (PowerShell) แบบเงียบๆ ซึ่งคำสั่งนี้มีความฉลาดพอที่จะเข้าไปปิดระบบบันทึกเหตุการณ์และระบบสแกนไวรัสของ Windows (ETW และ AMSI) ก่อนจะทำการติดตั้งมัลแวร์ตัวสุดท้ายลงในหน่วยความจำ

ทำความรู้จัก "MIMICRAT" มัลแวร์สายลับจอมพรางตัว

MIMICRAT เป็นมัลแวร์ประเภทที่เปิดทางให้แฮกเกอร์สามารถควบคุมเครื่องเหยื่อได้จากระยะไกล (Remote Access Trojan - RAT) ซึ่งถูกพัฒนาขึ้นมาใหม่และมีประสิทธิภาพสูงมาก สิ่งที่ทำให้มันอันตรายมีดังนี้

- ควบคุมได้เบ็ดเสร็จ มันมาพร้อมกับชุดคำสั่งถึง 22 คำสั่งที่เปิดให้แฮกเกอร์เข้าจัดการไฟล์ ควบคุมโปรเซสการทำงาน หรือแม้แต่ขโมยสิทธิ์การเข้าถึงของผู้ใช้งาน
- พรางตัวเก่ง มัลแวร์ตัวนี้สื่อสารกับแฮกเกอร์ผ่านช่องทาง HTTPS โดยพรางข้อมูลให้ดูเหมือนเป็นแค่การส่งข้อมูลสถิติของเว็บไซต์ปกติ (Web Analytics) ทำให้ระบบรักษาความปลอดภัยขององค์กรจับสังเกตได้ยาก

ภัยคุกคามที่ไร้พรมแดน

แคมเปญ ClickFix ไม่ได้พุ่งเป้าไปที่กลุ่มใดกลุ่มหนึ่งโดยเฉพาะ แต่เป็นการโจมตีแบบหว่านแห โดยระบบหลอกลวงนี้ฉลาดถึงขั้นสามารถ ปรับเปลี่ยนภาษาได้อัตโนมัติตามเบราว์เซอร์ของเหยื่อถึง 17 ภาษา ทำให้มีผู้ตกเป็นเหยื่อแล้วทั่วโลก ทั้งในมหาวิทยาลัยในสหรัฐอเมริกา ไปจนถึงกลุ่มผู้ใช้งานในฝั่งเอเชีย นอกจากนี้นักวิจัยยังพบว่ายุทธวิธีนี้มีความเชื่อมโยงกับเครือข่ายแฮกเกอร์กลุ่มอื่นๆ ที่เคยใช้มัลแวร์ในลักษณะคล้ายกัน (เช่น Matanbuchus 3.0) ซึ่งตอกย้ำว่านี่คือขบวนการอาชญากรรมทางไซเบอร์ที่มีการจัดการอย่างเป็นระบบ

วิธีป้องกันตนเองและองค์กรจากภัยคุกคาม ClickFix

เนื่องจากการโจมตีของ ClickFix อาศัย "ความตื่นตระหนก" และ "ความไม่รู้" ของผู้ใช้งานเป็นหลัก มากกว่าการอาศัยช่องโหว่ของระบบปฏิบัติการเพียงอย่างเดียว การป้องกันจึงต้องเริ่มต้นที่ความตระหนักรู้ของผู้ใช้ ควบคู่ไปกับระบบรักษาความปลอดภัยที่รัดกุม

- กฎเหล็ก "ห้ามคัดลอกแล้ววาง" จดจำไว้เสมอว่า บริการเว็บโฮสติ้ง, ระบบป้องกันอย่าง Cloudflare, หรือเบราว์เซอร์ จะไม่มีวันสั่งให้ผู้ใช้งานคัดลอกโค้ดหรือคำสั่งใดๆ ไปวางในหน้าต่าง Windows Run (Win+R), Command Prompt หรือ PowerShell เพื่อแก้ไขปัญหาการเข้าเว็บโดยเด็ดขาด
- อย่าหลงเชื่อหน้าต่างแจ้งเตือนที่ดูผิดปกติ หากเข้าเว็บไซต์แล้วพบหน้าต่างแจ้งเตือนให้ทำตามขั้นตอนที่ซับซ้อน หรือดูน่าสงสัย ให้รีบปิดหน้าต่าง หรือปิดเบราว์เซอร์นั้นทิ้งทันที
- ยกระดับระบบรักษาความปลอดภัย (Endpoint Security) แม้มัลแวร์ตัวนี้จะถูกออกแบบมาให้ข้ามการตรวจจับของแอนตี้ไวรัสทั่วไป (AMSI bypass) องค์กรจึงควรใช้ระบบรักษาความปลอดภัยระดับสูงอย่าง EDR (Endpoint Detection and Response) ที่เน้นตรวจจับจาก "พฤติกรรม" ที่ผิดปกติของโปรแกรม มากกว่าการตรวจจับจากฐานข้อมูลไวรัสเพียงอย่างเดียว
- จำกัดสิทธิ์การใช้งาน PowerShell สำหรับผู้ดูแลระบบไอทีขององค์กร ควรตั้งค่านโยบาย (Ex*****on Policy) เพื่อจำกัดการรันสคริปต์ PowerShell สำหรับพนักงานทั่วไปที่ไม่มีความจำเป็นต้องใช้งาน เพื่อตัดไฟแต่ต้นลมหากพนักงานเผลอไปกดรันสคริปต์อันตราย
- อัปเดตระบบอยู่เสมอ หมั่นอัปเดตเว็บเบราว์เซอร์ ระบบปฏิบัติการ Windows และโปรแกรมป้องกันไวรัสให้เป็นเวอร์ชันล่าสุด เพื่ออุดช่องโหว่ด้านความปลอดภัย

เมื่อภัยทางไซเบอร์เริ่มแนบเนียนและยืมมือเว็บไซต์ที่น่าเชื่อถือมาหลอกลวง สิ่งที่เราควรต้องมีคือ "สติ" และ "ความเอะใจ" จะสามารถช่วยเป็นเกราะป้องกันด่านแรกที่สำคัญที่สุดในการท่องโลกอินเทอร์เน็ต

Ref : https://thehackernews.com/2026/02/clickfix-campaign-abuses-compromised.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner .

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: [email protected]
Website: www.baycoms.com