นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์ลินุกซ์ตัวใหม่ที่มีชื่อว่า “Showboat” ซึ่งถูกนำไปใช้ในแคมเปญโจมตีที่มีเป้าหมายไปที่ผู้ให้บริการโทรคมนาคมรายหนึ่งในภูมิภาคตะวันออกกลางตั้งแต่ช่วงกลางปี 2022 อย่างน้อย การโจมตีครั้งนี้ถูกค้นพบโดยทีมนักวิจัยจาก Lumen Technologies ซึ่งเป็นที่น่าสนใจว่ามัลแวร์ตัวนี้ถูกออกแบบมาอย่างพิถีพิถันเพื่อทำงานบนระบบปฏิบัติการลินุกซ์โดยเฉพาะ

Showboat ถูกจัดประเภทว่าเป็นกรอบงานสำหรับโพสต์-เอ็กพลอยต์ (Post-exploitation framework) ที่ทำงานแบบโมดูลาร์ ทำให้ผู้โจมตีสามารถขยายความสามารถของมัลแวร์ได้ตามต้องการ ฟีเจอร์หลักของมันประกอบด้วยการเปิดรีโมตเชลล์ (Remote Shell) เพื่อควบคุมระบบจากระยะไกล การถ่ายโอนไฟล์เข้าและออกจากเซิร์ฟเวอร์ และที่สำคัญที่สุดคือความสามารถในการทำงานเป็นพร็อกซีเซิร์ฟเวอร์โดยใช้โปรโตคอล SOCKS5

การที่ Showboat สามารถทำงานเป็นพร็อกซี SOCKS5 ถือเป็นภัยคุกคามระดับสูง เนื่องจากช่วยให้ผู้โจมตีสามารถใช้เซิร์ฟเวอร์ของเหยื่อเป็นทางผ่าน (Proxy) เพื่อวิ่งต่อเข้าไปยังเครือข่ายภายในอื่นๆ ขององค์กรได้โดยไม่ถูกตรวจจับ ซึ่งจะทำให้การเคลื่อนไหวทางไซเบอร์ของกลุ่มผู้โจมตีดูเหมือนว่ามาจากภายในบริษัทผู้ให้บริการโทรคมนาคมเอง ส่งผลให้การตรวจสอบและป้องกันภัยคุกคามในลำดับต่อไปยิ่งยากขึ้น

คำศัพท์เทคนิคที่น่าสนใจ

• Post-exploitation framework – กรอบงานหรือเครื่องมือที่ผู้โจมตีใช้หลังจากได้เข้าไปในระบบเป้าหมายแล้ว เพื่อใช้ในการรักษาสิทธิ์การเข้าถึง รวบรวมข้อมูล หรือขยายการโจมตีไปยังระบบอื่นๆ
• SOCKS5 Proxy – โปรโตคอลพร็อกซีขั้นสูงที่สามารถกำหนดเส้นทางการเชื่อมต่อเครือข่ายผ่านเซิร์ฟเวอร์ตัวกลางได้ มักถูกผู้โจมตีใช้เพื่อซ่อนตัวตนที่แท้จริงและใช้เซิร์ฟเวอร์ที่ถูกบุกรุกเป็นทางผ่านเพื่อโจมตีระบบอื่น
• Remote Shell – การเชื่อมต่อที่ให้ผู้โจมตีสามารถส่งคำสั่งรันโปรแกรมหรือควบคุมระบบปฏิบัติการปลายทางได้จากระยะไกลเหมือนกับนั่งอยู่หน้าจอเครื่องนั้นจริงๆ
• Modular malware – มัลแวร์ที่ถูกออกแบบมาเป็นส่วนๆ (โมดูล) ทำให้สามารถเพิ่ม ลด หรืออัปเดตความสามารถใหม่ๆ ได้ง่ายโดยไม่ต้องเขียนหรือติดตั้งมัลแวร์ตัวใหม่ทั้งหมด

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/showboat-linux-malware-hits-middle-east.html