ThaiCERT

ThaiCERT

แชร์

30/05/2026

🛑 แจ้งเตือน เครื่องมือดูแลระบบ อาจกลายเป็นเครื่องมือควบคุมระบบของผู้โจมตี ภัยคุกคามจากการนำ Remote Monitoring and Management (RMM) ไปใช้ในทางมิชอบ

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนหน่วยงานและองค์กรเกี่ยวกับแนวโน้มการนำเครื่องมือ Remote Monitoring and Management (RMM) ไปใช้ในทางมิชอบโดยผู้ไม่หวังดี เพื่อควบคุมเครื่องคอมพิวเตอร์ คงสิทธิ์การเข้าถึงระบบ และใช้เป็นช่องทางสนับสนุนการโจมตี

ในปัจจุบัน เครื่องมือ Remote Monitoring and Management (RMM) มีการนำมาใช้อย่างแพร่หลายในหลายองค์กร ไม่ว่าจะเป็นการดูแลเครื่องคอมพิวเตอร์ การสนับสนุนผู้ใช้งาน การบริหารจัดการระบบ การตรวจสอบสถานะเครื่องปลายทาง การถ่ายโอนไฟล์ และการสั่งงานระบบผ่าน remote shell หรือ remote desktop ซึ่งเป็นประโยชน์ต่อผู้ดูแลระบบในการบริหารจัดการอุปกรณ์จำนวนมากได้อย่างมีประสิทธิภาพ
ในทางกลับกัน เครื่องมือเหล่านี้เริ่มถูกนำไปใช้ในทางมิชอบโดยผู้ไม่หวังดีมากขึ้น เนื่องจากเป็นเครื่องมือที่ถูกต้องตามกฎหมาย มีฟังก์ชันการควบคุมระบบที่ครบถ้วน ใช้งานได้สะดวก และในบางกรณีเป็นซอฟต์แวร์แบบโอเพนซอร์สหรือสามารถใช้งานได้ฟรี ทำให้ผู้โจมตีสามารถนำไปใช้เป็นเครื่องมือควบคุมระบบ แทนการใช้มัลแวร์แบบดั้งเดิมที่อาจถูกตรวจจับได้ง่ายกว่า [1]

ในกรณีของเครื่องมือ MeshAgent ซึ่งเป็น agent ของ MeshCentral สำหรับบริหารจัดการเครื่องปลายทาง พบว่ามีแนวโน้มถูกนำมาใช้ในการโจมตีมากขึ้น โดยผู้โจมตีอาจติดตั้ง MeshAgent ลงบนเครื่องที่ถูกบุกรุก แล้วกำหนดค่าให้เชื่อมต่อกลับไปยัง MeshCentral server ที่ผู้โจมตีควบคุม เพื่อใช้สั่งรันคำสั่ง โอนย้ายไฟล์ ควบคุมหน้าจอ หรือคงการเข้าถึงระบบอย่างต่อเนื่อง ประเด็นสำคัญคือ MeshAgent / MeshCentral ไม่ใช่มัลแวร์โดยตัวเอง แต่เป็นเครื่องมือประเภท Dual-Use Tool หรือเครื่องมือที่สามารถใช้งานได้ทั้งในทางที่ถูกต้องและในทางที่ผิด หากองค์กรไม่มีการควบคุมและเฝ้าระวังการใช้งาน RMM อย่างเหมาะสม อาจทำให้แยกแยะได้ยากว่าการใช้งานดังกล่าวเป็นกิจกรรมของผู้ดูแลระบบจริง หรือเป็นการควบคุมเครื่องโดยผู้โจมตี

รายละเอียดด้านความเสี่ยงและแนวโน้มภัยคุกคาม [2]
จากข้อมูลที่มีการเผยแพร่และกรณีการตรวจพบในหลายเหตุการณ์ พบว่าผู้ไม่หวังดีมีแนวโน้มใช้ MeshAgent หรือเครื่องมือ Remote Monitoring and Management (RMM) อื่น ๆ หลังจากเจาะเข้าสู่ระบบได้แล้ว เช่น จาก phishing บัญชีรั่ว ช่องโหว่ของระบบ หรือ webshell บน server โดยมีรูปแบบสำคัญดังนี้
• ใช้เป็นช่องทางกลับเข้าระบบ ผู้โจมตีอาจติดตั้ง MeshAgent หรือ RMM ไว้บนเครื่องที่ถูกเจาะ เพื่อให้สามารถกลับมาควบคุมเครื่องได้ภายหลัง แม้เครื่องจะถูกรีสตาร์ทแล้ว
• ใช้เป็นเครื่องมือสั่งงาน ผู้โจมตีอาจตั้ง server ควบคุมของตนเอง แล้วให้เครื่องเหยื่อเชื่อมต่อกลับไป เพื่อสั่งรันคำสั่ง โอนย้ายไฟล์ หรือเปิด remote shell ได้
• ตรวจจับได้ยากกว่ามัลแวร์ทั่วไป เนื่องจาก RMM เป็นเครื่องมือที่ถูกกฎหมาย และมักใช้การเชื่อมต่อแบบ HTTPS คล้ายการใช้งานเว็บปกติ หากไม่มีรายการเครื่องมือที่อนุญาต อาจแยกได้ยากว่าเป็นผู้ดูแลระบบหรือผู้โจมตี
• ใช้ร่วมกับ ransomware ผู้โจมตีอาจใช้ RMM เพื่อสำรวจเครือข่าย ขโมยข้อมูล และเตรียมติดตั้ง ransomware ในขั้นตอนสุดท้าย โดย MeshAgent เริ่มถูกพบในเหตุการณ์ ransomware มากขึ้น แม้ยังไม่แพร่หลายเท่า AnyDesk, ScreenConnect หรือ SimpleHelp
• ซ่อนตัวด้วยชื่อไฟล์หรือ path ที่ดูปกติ ผู้โจมตีอาจเปลี่ยนชื่อไฟล์หรือวางไฟล์ไว้ในตำแหน่งที่ดูเหมือน service ของระบบ เพื่อให้ผู้ดูแลระบบสังเกตได้ยาก จึงควรตรวจสอบ hash, process, service และปลายทางที่โปรแกรมเชื่อมต่อไปด้วย

ความเสี่ยงที่อาจเกิดขึ้น [3]
ThaiCERT ประเมินว่า หากผู้ไม่หวังดีสามารถติดตั้งหรือใช้งาน MeshAgent หรือเครื่องมือ RMM อื่น ๆ ภายในระบบของหน่วยงานได้ อาจก่อให้เกิดความเสี่ยงดังนี้
• ผู้โจมตีสามารถควบคุมเครื่องได้โดยไม่ได้รับอนุญาต
• ผู้โจมตีสามารถสั่งรันคำสั่ง สำรวจระบบ และเคลื่อนย้ายภายในเครือข่าย
• อาจมีการติดตั้งเครื่องมือเพิ่มเติม เช่น network scanner, credential tool หรือ malware
• อาจมีการขโมยข้อมูลหรือถ่ายโอนไฟล์ออกจากระบบ
• ใช้เป็นช่องทาง persistence เพื่อกลับเข้าระบบซ้ำ แม้แก้ไขช่องทางโจมตีแรกแล้ว
• ทำให้การตรวจจับยากขึ้น เนื่องจากพฤติกรรมบางส่วนคล้ายการทำงานของผู้ดูแลระบบ
• อาจถูกใช้เป็นส่วนหนึ่งของการโจมตี ransomware โดยขโมยข้อมูลก่อนเข้ารหัสไฟล์
• กระทบต่อระบบสำคัญ ระบบให้บริการประชาชน ระบบฐานข้อมูล หรือระบบภายในขององค์กร
ในมุมของหน่วยงาน ความเสี่ยงไม่ได้อยู่ที่ตัว MeshAgent เพียงอย่างเดียว แต่อยู่ที่การไม่มี visibility ว่าองค์กรอนุญาตให้ใช้ RMM ใดบ้าง เครื่องใดควรติดตั้ง agent เครื่องใดไม่ควรมีการเชื่อมต่อ remote access และ agent ที่พบเชื่อมต่อไปยังเซิร์ฟเวอร์ ขององค์กรจริงหรือไม่

วิธีแก้ไขและป้องกัน [4]
เพื่อป้องกันไม่ให้เครื่องมือ Remote Monitoring and Management (RMM) ถูกนำไปใช้เป็นช่องทางควบคุมระบบโดยผู้ไม่หวังดี หน่วยงานควรเริ่มจากการตรวจสอบว่าในองค์กรมีการใช้งานเครื่องมือ remote access ใดบ้าง เครื่องมือใดได้รับอนุญาต และเครื่องใดไม่ควรมีโปรแกรมลักษณะนี้ติดตั้งอยู่ โดยเฉพาะเครื่องผู้ดูแลระบบ เครื่องเซิร์ฟเวอร์ และระบบสำคัญขององค์กร
• สำรวจเครื่องมือ RMM หรือโปรแกรม remote access ทั้งหมดที่มีการใช้งานในองค์กร เช่น AnyDesk, ScreenConnect, SimpleHelp, RustDesk, Splashtop, TeamViewer, MeshAgent และเครื่องมือที่มีลักษณะคล้ายกัน
• จัดทำรายการเครื่องมือ RMM ที่อนุญาตให้ใช้งานอย่างชัดเจน โดยระบุชื่อเครื่องมือ ผู้รับผิดชอบ เครื่องที่อนุญาตให้ติดตั้ง และเซิร์ฟเวอร์ หรือ domain ที่เครื่องมือดังกล่าวสามารถเชื่อมต่อได้
• ตรวจสอบเครื่องปลายทางและเซิร์ฟเวอร์ ว่ามีการติดตั้ง RMM ที่ไม่อยู่ในรายการอนุญาตหรือไม่ หากพบเครื่องมือที่ไม่ทราบที่มา ควรตรวจสอบทันทีว่าใครเป็นผู้ติดตั้ง ใช้เพื่อวัตถุประสงค์ใด และเชื่อมต่อไปยังปลายทางใด
• ตรวจสอบการเชื่อมต่อของเครื่องมือ RMM ว่าเชื่อมต่อไปยังเซิร์ฟเวอร์ ขององค์กรจริงหรือไม่ หากพบการเชื่อมต่อไปยังเซิร์ฟเวอร์ ภายนอกที่ไม่ทราบที่มา หรือไม่เกี่ยวข้องกับงานของหน่วยงาน ควรถือเป็นเหตุการณ์ต้องสงสัย
• จำกัดสิทธิ์ผู้ใช้งานทั่วไปไม่ให้สามารถติดตั้งโปรแกรม สร้าง service หรือเพิ่ม agent ได้เองโดยไม่จำเป็น เพื่อลดโอกาสที่ผู้โจมตีจะฝังเครื่องมือควบคุมระบบไว้ในเครื่อง
• บังคับใช้ Multi-Factor Authentication (MFA) กับระบบ remote access, VPN, RMM console, บัญชีผู้ดูแลระบบ และระบบบริหารจัดการสำคัญทั้งหมด
• ใช้ application control หรือ allowlisting เพื่ออนุญาตให้รันเฉพาะโปรแกรมที่องค์กรกำหนดไว้ และป้องกันการเปิดใช้งาน RMM ที่ไม่ได้รับอนุญาต
• บล็อกหรือจำกัดการเชื่อมต่อไปยัง RMM เซิร์ฟเวอร์ ภายนอกที่ไม่เกี่ยวข้องกับองค์กร ผ่าน firewall, proxy, DNS filtering หรือ EDR policy
• ตรวจสอบ log จาก endpoint, firewall, proxy, DNS, VPN, identity provider และ EDR อย่างต่อเนื่อง โดยเฉพาะ log ที่เกี่ยวข้องกับการติดตั้งโปรแกรมใหม่ การสร้าง service การเชื่อมต่อออกไปยังปลายทางภายนอก และการใช้งาน remote access นอกเวลาทำการ
• กำหนดขั้นตอนรับมือเมื่อพบ RMM ต้องสงสัย เช่น แยกเครื่องออกจากเครือข่ายชั่วคราว เก็บหลักฐาน ตรวจสอบปลายทางที่เชื่อมต่อ ตรวจสอบบัญชีที่เกี่ยวข้อง และตรวจสอบว่าเครื่องอื่นในเครือข่ายมีพฤติกรรมลักษณะเดียวกันหรือไม่

IOCs ที่เกี่ยวข้อง
รายการ IOCs ต่อไปนี้เป็นข้อมูลที่เกี่ยวข้องกับกรณีตรวจพบการใช้งาน MeshAgent / RMM และเครื่องมือที่เกี่ยวข้องในการควบคุมระบบ โดยหน่วยงานสามารถนำไปใช้ประกอบการตรวจสอบ เฝ้าระวัง และทำ threat hunting ภายในระบบที่เกี่ยวข้อง
ทั้งนี้ การตรวจพบ IOCs เพียงรายการใดรายการหนึ่งอาจยังไม่สามารถสรุปได้ทันทีว่าเป็นการบุกรุกระบบ หน่วยงานควรพิจารณาร่วมกับบริบทของระบบ ประวัติการใช้งาน เครื่องมือที่ได้รับอนุญาต พฤติกรรมของบัญชีผู้ใช้งาน และ log จากแหล่งข้อมูลอื่นประกอบด้วย

SHA-256
• e82ecbe3823046a27d8c39cc0a4acb498f415549946c9ff0e241838b34ed5a21
• 460acbb38b0bdb3d227de65010b1a323f448ec196860ce4979c0b8314763eb56
• dcf99ae0aa31fee1c5d3d6d53c99e8d11b0cb82cdb3ab81248ace279fe639708
MD5
• b8053bcd04ce9d7d19c7f36830a9f26b

ThaiCERT ขอให้หน่วยงานนำ IOCs ข้างต้นไปตรวจสอบในระบบที่เกี่ยวข้อง เช่น endpoint, server, proxy, firewall, DNS log, EDR และ SIEM โดยเฉพาะการตรวจสอบการเชื่อมต่อไปยัง C2 domain / URL การพบ hash หรือ path ที่เกี่ยวข้องกับ MeshAgent / RMM และการพบ webshell บนระบบ web application หากพบข้อมูลตรงกับ IOC หรือพบพฤติกรรมที่สอดคล้องกัน ควรดำเนินการสืบสวนเหตุการณ์ แยกเครื่องที่เกี่ยวข้องออกจากเครือข่าย และตรวจสอบการแพร่กระจายไปยังระบบอื่นโดยเร็ว

แหล่งอ้างอิง
[1] https://dg.th/e6bwnhvpk5
[2] https://dg.th/j8s6vncyiz
[3] https://dg.th/rl1y29vdx0
[4] https://dg.th/gzvxjiflkw

Dutch police arrests suspect linked to Ajax football club hack 29/05/2026

📢[⚪️⚪️⚪️] ตำรวจเนเธอร์แลนด์จับกุมผู้ต้องสงสัยเกี่ยวข้องกับเหตุแฮกระบบสโมสรฟุตบอล Ajax

ตำรวจแห่งชาติเนเธอร์แลนด์จับกุมชายอายุ 35 ปี ในข้อหาต้องสงสัยว่าเกี่ยวข้องกับการบุกรุกระบบคอมพิวเตอร์ของสโมสรฟุตบอล Ajax Amsterdam หรือ AFC Ajax หลายครั้ง เมื่อต้นปี 2569 โดยตำรวจระบุว่า ผู้ต้องสงสัยได้เข้าถึงระบบคอมพิวเตอร์ของสโมสรโดยมิชอบ และหลังจากได้รับแจ้งเหตุ เจ้าหน้าที่ฝ่ายสืบสวนได้เริ่มดำเนินการสอบสวนจนสามารถระบุตัวผู้ต้องสงสัยรายดังกล่าวได้

ก่อนหน้านี้ AFC Ajax ได้เปิดเผยเหตุการณ์ดังกล่าวเมื่อช่วงปลายเดือนมีนาคม โดยระบุว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ในระบบ IT ของสโมสร เพื่อเข้าถึงข้อมูลของบุคคลหลายร้อยราย นอกจากนี้ ช่องโหว่ดังกล่าวยังอาจถูกใช้เพื่อแก้ไขรายชื่อบุคคลที่ถูกสั่งห้ามเข้าสนามจำนวนไม่ถึง 20 ราย และโอนตั๋วที่ซื้อไว้ไปยังบุคคลอื่นได้ ขณะที่รายงานจาก RTL ระบุว่า ช่องโหว่เดียวกันยังเปิดให้เข้าถึงข้อมูลแฟนบอลผ่าน API และ Shared Key โดยผู้โจมตีสามารถแสดงให้เห็นถึงความสามารถในการโอนสิทธิ์ตั๋วปีแบบ VIP ได้ภายในเวลาไม่กี่วินาที

รายงานยังระบุด้วยว่า ผู้โจมตีสามารถแสดงให้เห็นถึงความเป็นไปได้ในการแก้ไขข้อมูลการห้ามเข้าสนามของแฟนบอลจำนวน 538 ราย จัดการตั๋วปีประมาณ 42,000 ใบ และดูรายละเอียดบัญชีผู้ใช้งานมากกว่า 300,000 บัญชี ทั้งนี้ สโมสร Ajax ได้ดำเนินการแก้ไขช่องโหว่ที่ถูกใช้ในการโจมตีแล้ว พร้อมแจ้งเหตุการณ์ต่อหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของเนเธอร์แลนด์และตำรวจเพื่อดำเนินการตามขั้นตอนที่เกี่ยวข้องต่อไป

แหล่งข่าว [ https://dg.th/wfxs46gb9i ]

Dutch police arrests suspect linked to Ajax football club hack The Dutch National Police arrested a 35-year-old man suspected of hacking the professional football club Ajax Amsterdam (AFC Ajax) earlier this year.

28/05/2026

พบช่องโหว่ใน Microsoft SharePoint Server ให้ผู้ดูแลระบบเร่งอัปเดต Patch ทันที

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงาน Microsoft ได้เผยแพร่การอัปเดต Patch เพื่อแก้ไขช่องโหว่ในระบบ Microsoft SharePoint Server ซึ่งองค์กรที่ใช้งานระบบดังกล่าว มีความเสี่ยงที่จะถูกผู้โจมตีเข้ายึดเซิร์ฟเวอร์ ขโมยข้อมูล หรือโจมตีด้วยมัลแวร์เรียกค่าไถ่ได้ จึงขอให้ทำการตรวจสอบและอัปเดตแพตช์ล่าสุดทันที [1]

1. รายละเอียดช่องโหว่
ช่องโหว่รหัส CVE-2026-45659 มีความเสี่ยงระดับสูง (CVSS v3.1: 8.8 ) เกิดจากปัญหาการประมวลผลข้อมูลที่ไม่ปลอดภัย (Deserialization of Untrusted Data) ภายใน Microsoft SharePoint Server ซึ่งเป็นข้อผิดพลาดในการตรวจสอบข้อมูลที่รับเข้ามาในระบบ โดยแฮกเกอร์ที่มีบัญชีผู้ใช้งานทั่วไป (เข้าสู่ระบบแล้ว) จะสามารถเจาะผ่านช่องโหว่นี้โดยการส่งชุดคำสั่งพิเศษเข้าไปเพื่อหลอกระบบ ผลลัพธ์คือแฮกเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์เป้าหมายได้จากระยะไกล (Remote Code Ex*****on: RCE) เพื่อเข้าควบคุมเครื่องเซิร์ฟเวอร์ หรือใช้เป็นฐานเพื่อโจมตีระบบอื่น ๆ ในเครือข่ายต่อไปได้ [2]

2. เวอร์ชันที่ได้รับผลกระทบ
2.1 Microsoft SharePoint Server Subscription Edition
2.2 Microsoft SharePoint Server 2019
2.3 Microsoft SharePoint Enterprise Server 2016

3. แนวทางการแก้ไข
3.1 ติดตั้ง Security Update ล่าสุดจาก Microsoft สำหรับ SharePoint Server ทุกเวอร์ชันที่ได้รับผลกระทบ
3.2 ตรวจสอบให้แน่ใจว่าระบบได้รับการอัปเดต Patch ล่าสุดครบถ้วน รวมถึง Patch Cumulative Update
3.3 จำกัดสิทธิ์ของผู้ใช้งาน SharePoint

4. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
4.1 จำกัดการเข้าถึง SharePoint Server จากอินเทอร์เน็ตภายนอก
4.2 อนุญาตการเข้าถึงเฉพาะ VPN หรือเครือข่ายภายในองค์กร
4.3 จำกัดสิทธิ์ผู้ใช้งานและบัญชี Service Account ที่เกี่ยวข้องกับ SharePoint
4.4 เปิดใช้งาน Multi-Factor Authentication (MFA)
4.5 สำรองข้อมูลระบบและฐานข้อมูล SharePoint อย่างสม่ำเสมอ

แหล่งอ้างอิง
[1] https://dg.th/vacs9niokd
[2] https://dg.th/hlrgq5a4yw

ต้องการให้ธุรกิจของคุณ องค์กร ขึ้นเป็นอันดับหนึ่ง บริการภาครัฐ ใน Bangkok?
คลิกที่นี่เพื่อเป็นสมาชิก?

เบอร์โทรศัพท์

เว็บไซต์

ที่อยู่


ศูนย์ราชการแจ้งวัฒนะ
Bangkok
10210