นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์ลีนุกซ์ตัวใหม่ที่ถูกตั้งชื่อว่า “Showboat” ซึ่งถูกนำมาใช้ในการโจมตีผู้ให้บริการโทรคมนาคมรายหนึ่งในภูมิภาคตะวันออกกลางตั้งแต่ช่วงกลางปี 2022 เป็นอย่างน้อย การโจมตีครั้งนี้เปิดเผยให้เห็นถึงความซับซ้อนและความปลอดภัยสูงของเครื่องมือที่ใช้ในการล้วงรหัสและแทรกซึมเครือข่ายระดับองค์กร

Showboat ถูกจัดประเภทว่าเป็นกรอบงานสำหรับโพสต์เอ็กซ์พลอยเทชัน (Post-exploitation framework) ที่ออกแบบมาเพื่อระบบปฏิบัติการลีนุกซ์โดยเฉพาะ มันทำงานแบบโมดูลาร์ที่มีความสามารถหลากหลาย ไม่ว่าจะเป็นการสร้างรีโมทเชลล์ (Remote shell) เพื่อควบคุมระบบจากระยะไกล การถ่ายโอนไฟล์เข้าและออกจากเซิร์ฟเวอร์ รวมถึงการทำงานเป็นพร็อกซีเซิร์ฟเวอร์แบบ SOCKS5 เพื่ออำพรางตัวตนของผู้โจมตี

การที่ Showboat สามารถทำงานเป็น SOCKS5 Proxy ถือเป็นความสามารถที่น่ากังวลอย่างยิ่ง เนื่องจากช่วยให้ผู้โจมตีสามารถใช้เซิร์ฟเวอร์ของผู้เสียหายเป็นจุดเชื่อมต่อ (Pivot point) เพื่อเคลื่อนไหวไปยังระบบหรือเครือข่ายอื่นๆ ในองค์กรได้อย่างลับๆ โดยไม่ถูกตรวจจับ ซึ่งแสดงให้เห็นว่ากลุ่มภัยคุกคามนี้มีเป้าหมายเพื่อการสอดส่องข้อมูลและรักษาการเข้าถึงเครือข่ายในระยะยาว

คำศัพท์เทคนิคที่น่าสนใจ

• Post-exploitation framework – กรอบงานหรือชุดเครื่องมือที่ใช้หลังจากผู้โจมตีสามารถเข้าถึงระบบได้แล้ว เพื่อรักษาสิทธิ์การเข้าถึง รวบรวมข้อมูล และขยายพื้นที่การโจมตีภายในเครือข่าย
• SOCKS5 Proxy – โปรโตคอลเครือข่ายที่ใช้ในการส่งต่อแพ็กเกตข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์ผ่านพร็อกซีเซิร์ฟเวอร์ เพื่อซ่อนตัวตนที่แท้จริงของผู้ใช้งานหรือใช้ในการเดินทางข้ามไฟร์วอลล์
• Remote shell – การเชื่อมต่อเครือข่ายที่อนุญาตให้ผู้โจมตีสามารถส่งคำสั่งเพื่อควบคุมระบบปฏิบัติการปลายทางได้จากระยะไกลเหมือนกับการนั่งอยู่หน้าจอเครื่องนั้นจริงๆ
• Pivot point – จุดเชื่อมต่อหรือเครื่องที่ถูกบุกรุกแล้ว ซึ่งผู้โจมตีใช้เป็นจุดศูนย์กลางในการต่อยอดการโจมตีเข้าไปยังเครื่องอื่นๆ ในเครือข่ายย่อยที่มีการป้องกันหรือไม่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/showboat-linux-malware-hits-middle-east.html