นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์ลินุกซ์ตัวใหม่ที่ถูกตั้งชื่อว่า “Showboat” ซึ่งถูกนำมาใช้ในการโจมตีและรุกรานผู้ให้บริการโทรคมนาคมรายหนึ่งในภูมิภาคตะวันออกกลางตั้งแต่กลางปี 2022 เป็นต้นมา การโจมตีครั้งนี้เปิดเผยให้เห็นถึงความซับซ้อนและความก้าวหน้าของภัยคุกคามที่มุ่งเป้าไปที่ระบบปฏิบัติการลินุกซ์ ซึ่งถูกใช้งานอย่างกว้างขวางในโครงสร้างพื้นฐานขององค์กรขนาดใหญ่ โดยเฉพาะในภาคส่วนของเซิร์ฟเวอร์และเครือข่าย

จากการวิเคราะห์ของทีมนักวิจัยจาก Lumen พบว่า Showboat นั้นถูกออกแบบมาเป็นกรอบงานสำหรับการโจมตีหลังการบุกรุก (Post-exploitation framework) ที่มีโมดูลาร์และทำงานบนระบบลินุกซ์โดยเฉพาะ มัลแวร์ตัวนี้มีความสามารถในการเปิดรีโมทเชลล์ (Remote Shell) เพื่อให้ผู้โจมตีสามารถสั่งการระบบได้โดยตรง รองรับการถ่ายโอนไฟล์เข้าและออกจากระบบ และที่สำคัญที่สุดคือสามารถทำงานเป็นพร็อกซี SOCKS5 เพื่อสร้างทางลัดสำหรับการสื่อสารทางเครือข่ายและการย้ายข้อมูลแบบลับๆ ภายในเครือข่ายของเหยื่อ

การที่ Showboat มีความสามารถในการทำงานเป็นพร็อกซีถือเป็นอันตรายระดับสูง เนื่องจากช่วยให้กลุ่มผู้โจมตีสามารถซ่อนตัวตนจริงและใช้โทรศัพท์หรือระบบของเหยื่อเป็นตัวกลางในการโจมตีเป้าหมายอื่นๆ ภายในโครงข่ายเดียวกันหรือภายนอกได้ การค้นพบมัลแวร์ตัวนี้สะท้อนให้เห็นว่าภัยคุกคามที่มุ่งเป้าไปที่อุตสาหกรรมโทรคมนาคมและโครงสร้างพื้นฐานสำคัญยังคงมีความรุนแรง ผู้ดูแลระบบควรเพิ่มมาตรการตรวจสอบพฤติกรรมที่ผิดปกติของเครือข่ายและจำกัดการใช้งานพร็อกซีที่ไม่ได้รับอนุญาต

คำศัพท์เทคนิคที่น่าสนใจ

• Post-exploitation framework – กรอบงานหรือเครื่องมือที่ถูกใช้หลังจากผู้โจมตีบุกรุกเข้าสู่ระบบเรียบร้อยแล้ว เพื่อใช้ในการขยายผลโจมตี รักษาสิทธิ์การเข้าถึง หรือดึงข้อมูล
• Remote Shell – อินเตอร์เฟซหรือช่องทางที่ให้ผู้โจมตีสามารถส่งคำสั่งเพื่อควบคุมระบบคอมพิวเตอร์เป้าหมายได้จากระยะไกลผ่านเครือข่าย
• SOCKS5 Proxy – โปรโตคอลเครือข่ายที่ทำหน้าที่เป็นตัวกลางในการส่งผ่านแพ็กเก็ตข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์ ซึ่งผู้โจมตีมักใช้เพื่อวิ่งรอดไฟร์วอลล์และซ่อนต้นทางที่แท้จริงของการโจมตี

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/showboat-linux-malware-hits-middle-east.html