นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์ลินุกซ์ตัวใหม่ที่มีชื่อว่า “Showboat” ซึ่งถูกนำมาใช้ในการโจมตีผู้ให้บริการโทรคมนาคมรายหนึ่งในภูมิภาคตะวันออกกลางตั้งแต่ช่วงกลางปี 2022 เป็นอย่างน้อย การโจมตีครั้งนี้ถูกค้นพบและวิเคราะห์โดยทีมนักวิจัยจาก Lumen Technologies ซึ่งเผยว่าภัยคุกคามนี้มีความซับซ้อนและออกแบบมาเพื่อทำงานบนระบบปฏิบัติการลินุกซ์โดยเฉพาะ

Showboat ถูกจัดประเภทว่าเป็นกรอบงานสำหรับการโจมตีภายหลังการละเมิด (Post-exploitation framework) ที่มีโมดูลาร์ (Modular) ทำให้ผู้โจมตีสามารถเพิ่มความสามารถต่างๆ ได้ตามต้องการ คุณสมบัติหลักของมัลแวร์ตัวนี้ประกอบด้วยการเปิดรีโมตเชลล์ (Remote Shell) เพื่อให้ผู้โจมตีสามารถควบคุมระบบได้โดยตรง การถ่ายโอนไฟล์เข้าและออกจากเซิร์ฟเวอร์ และที่สำคัญที่สุดคือความสามารถในการทำงานเป็นพร็อกซีเซิร์ฟเวอร์โปรโตคอล SOCKS5

การทำงานในรูปแบบของ SOCKS5 Proxy นี้ถือเป็นความสามารถที่อันตรายมาก เพราะช่วยให้ผู้โจมตีสามารถใช้เซิร์ฟเวอร์ที่ถูกบุกรุกนี้เป็นจุดเชื่อมต่อ (Pivot point) เพื่อส่งต่อทราฟฟิกเครือข่ายไปยังระบบภายในอื่นๆ ขององค์กรได้อย่างลับๆ โดยไม่ถูกตรวจจับจากระบบดูแลความปลอดภัย ทำให้การโจมตีระดับ Advanced Persistent Threat (APT) บนโครงสร้างพื้นฐานที่สำคัญสามารถดำเนินการต่อเนื่องได้อย่างราบรื่น

คำศัพท์เทคนิคที่น่าสนใจ

• Post-exploitation – ขั้นตอนหลังการละเมิดระบบเบื้องต้น ซึ่งผู้โจมตีจะทำการติดตั้งเครื่องมือเพื่อรักษาสิทธิ์การเข้าถึงและขยายผลการโจมตีในเครือข่าย
• SOCKS5 Proxy – โปรโตคอลเครือข่ายที่ทำหน้าที่เป็นตัวกลางรับส่งข้อมูล (Proxy) ผู้โจมตีใช้เพื่อซ่อนต้นทางของทราฟฟิกและใช้เซิร์ฟเวอร์ที่ถูกแฮ็กเป็นทางผ่านเข้าสู่ระบบภายใน
• Remote Shell – การเชื่อมต่อเครือข่ายที่ให้ผู้โจมตีสามารถส่งคำสั่งไปควบคุมระบบปฏิบัติการปลายทางได้ราวกับนั่งอยู่ตรงหน้าเครื่อง
• Modular Framework – สถาปัตยกรรมของมัลแวร์ที่แบ่งความสามารถออกเป็นส่วนย่อย (โมดูล) เพื่อให้สามารถติดตั้งหรือโหลดฟีเจอร์เพิ่มเติมได้ตามความจำเป็นโดยไม่ทำให้ไฟล์มีขนาดใหญ่เกินไป

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/showboat-linux-malware-hits-middle-east.html