สรุปสั้น

นักวิจัยจาก Lumen Technologies Black Lotus Labs เปิดเผยรายละเอียดของมัลแวร์ Linux ตัวใหม่ชื่อ Showboat เมื่อวันที่ 21 พฤษภาคม 2569 ซึ่งถูกใช้โจมตีผู้ให้บริการโทรคมนาคมในตะวันออกกลางตั้งแต่กลางปี 2565 Showboat เป็น modular post-exploitation framework สำหรับระบบ Linux ที่สามารถเปิด remote shell ถ่ายโอนไฟล์ และทำหน้าที่เป็น SOCKS5 proxy เพื่อเข้าถึงเครื่องภายในที่ไม่เปิดสู่อินเทอร์เน็ต มัลแวร์นี้เชื่อมโยงกับกลุ่มภัยคุกคามจากจีนหลายกลุ่ม รวมถึง Calypso (Bronze Medley) ที่เคยโจมตีหน่วยงานรัฐในหลายประเทศรวมถึงไทย เซิร์ฟเวอร์ C2 มี IP address ที่ระบุตำแหน่งได้ในเมืองเฉิงตู มณฑลเสฉวน ประเทศจีน

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 21 พฤษภาคม พ.ศ. 2569 ว่า Lumen Technologies Black Lotus Labs ค้นพบมัลแวร์ Linux ชื่อ Showboat จากการวิเคราะห์ ELF binary ที่ถูกอัปโหลดไปยัง VirusTotal ในเดือนพฤษภาคม 2568 โดย Kaspersky ติดตามมัลแวร์นี้ในชื่อ EvaRAT

Showboat ถูกจัดเป็น shared framework คล้ายกับ PlugX, ShadowPad และ NosyDoor ที่กลุ่ม APT จากจีนใช้ร่วมกัน ซึ่งสะท้อนถึงระบบ digital quartermaster ที่รัฐบาลจีนสนับสนุนกลุ่มแฮ็กเกอร์ด้วยเครื่องมือสำเร็จรูป กลุ่มที่เชื่อมโยงกับ Showboat ได้แก่ Calypso (Bronze Medley / Red Lamassu), FishMonger (Aquatic Panda), SixLittleMonkeys และ Space Pirates

การวิเคราะห์โครงสร้างพื้นฐานพบเหยื่อเพิ่มเติมคือ ISP ในอัฟกานิสถาน หน่วยงานในอาเซอร์ไบจาน และอีก 2 แห่งในสหรัฐอเมริกาและ 1 แห่งในยูเครน

วิธีการโจมตี

Showboat ทำงานโดยติดต่อกับเซิร์ฟเวอร์ C2 เก็บรวบรวมข้อมูลระบบ แล้วส่งกลับในรูปแบบ PNG field ที่เข้ารหัสและ Base64-encoded มัลแวร์มีความสามารถหลัก ได้แก่ การอัปโหลดและดาวน์โหลดไฟล์ การซ่อนตัวจาก process list โดยดึง code snippet จาก Pastebin (สร้างเมื่อ 11 มกราคม 2565) การจัดการเซิร์ฟเวอร์ C2 และที่สำคัญคือการสแกนหาอุปกรณ์อื่นในเครือข่ายแล้วเชื่อมต่อผ่าน SOCKS5 proxy ทำให้ผู้โจมตีเข้าถึงเครื่องภายในที่ไม่ได้เปิดสู่อินเทอร์เน็ตได้

ผลกระทบต่อไทย

ข่าวนี้มีความเกี่ยวข้องกับไทยโดยตรง เนื่องจากกลุ่ม Calypso ซึ่งเป็นหนึ่งในกลุ่มที่ใช้ Showboat เคยโจมตีหน่วยงานรัฐในไทยมาก่อนตั้งแต่ปี 2559 ประเทศไทยเป็นหนึ่งในเป้าหมายหลักของ Calypso ร่วมกับบราซิล อินเดีย คาซัคสถาน รัสเซีย และตุรกี ผู้ให้บริการโทรคมนาคมและหน่วยงานรัฐของไทยที่ใช้ระบบ Linux เป็น infrastructure หลักควรเฝ้าระวังเป็นพิเศษ เพราะมัลแวร์ตัวนี้ออกแบบมาเพื่อฝังตัวในเครือข่ายระยะยาวและใช้เป็นจุดเริ่มต้นสำหรับการโจมตีที่ร้ายแรงกว่า

คำแนะนำ

  • ตรวจสอบระบบ Linux ในเครือข่ายหา ELF binary ที่ผิดปกติ โดยเฉพาะที่มีความสามารถ SOCKS5 proxy และ rootkit-like behavior
  • เฝ้าระวังการเชื่อมต่อออกไปยัง IP address ในช่วงที่เชื่อมโยงกับ C2 ของ Showboat โดยเฉพาะ IP ที่ระบุตำแหน่งในเฉิงตู ประเทศจีน
  • ตรวจสอบการเข้าถึง Pastebin ที่ผิดปกติจากเซิร์ฟเวอร์ภายใน
  • ทบทวน network segmentation เพื่อจำกัด lateral movement ในเครือข่ายโทรคมนาคม
  • เปิดใช้ EDR บน Linux servers และ monitor SOCKS5 proxy ที่ไม่ได้รับอนุญาต

แหล่งอ้างอิง