ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยไซเบอร์เกี่ยวกับมัลแวร์ใหม่ชื่อ “Showboat” ซึ่งเป็น Linux-based post-exploitation framework ที่มุ่งเป้าโจมตีเพื่อเปิดช่องให้ผู้โจมตีสามารถควบคุมระบบ ยกระดับสิทธิ์การเข้าถึง และขโมยข้อมูลสำคัญจากระบบได้ โดยผู้ดูแลระบบควรตรวจสอบความผิดปกติของระบบและดำเนินมาตรการป้องกันโดยเร็ว
1. รายละเอียดของมัลแวร์ [1]
ทีมวิจัยภัยคุกคาม Black Lotus Labs ของ Lumen Technologies ได้เผยแพร่รายงานการค้นพบมัลแวร์ใหม่ชื่อ “Showboat” โดยมัลแวร์ดังกล่าวเป็น modular post-exploitation framework สำหรับระบบปฏิบัติการ Linux (AMD x86-64) และพบว่ามีการใช้งานมาตั้งแต่ช่วงปี 2565 เป็นอย่างน้อย
ทั้งนี้ เมื่อมีการส่งตัวอย่างมัลแวร์เข้าสู่ระบบ VirusTotal เมื่อวันที่ 5 พฤษภาคม 2568 ยังไม่ถูกตรวจจับจากโปรแกรมป้องกันมัลแวร์ใด ๆ และยังสามารถหลบเลี่ยงการตรวจจับได้ต่อเนื่องจนถึงเดือนเมษายน 2569 ซึ่งแแสดงถึงความสามารถในการหลบซ่อนและหลีกเลี่ยงการวิเคราะห์ได้เป็นอย่างดี
จากรายงานพบว่า กลุ่มผู้โจมตีมีการมุ่งเป้าโจมตีหน่วยงานด้านโทรคมนาคมและผู้ให้บริการอินเทอร์เน็ต (ISP) ในหลายประเทศ โดยมีการยืนยันการโจมตีต่อผู้ให้บริการโทรคมนาคมในภูมิภาคตะวันออกกลาง รวมถึงตรวจพบโครงสร้างพื้นฐานที่เกี่ยวข้องกับปฏิบัติการดังกล่าวในช่วงเดือนธันวาคม 2568 ถึงเดือนกุมภาพันธ์ 2569 นอกจากนี้ ยังพบการแอบอ้างชื่อผู้ให้บริการโทรคมนาคมในภูมิภาคเอเชีย เช่น Singtel และ Kazakhtelecom เพื่อใช้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานในการปฏิบัติการอีกด้วย
2. รูปแบบการโจมตี
มัลแวร์ “Showboat” ถูกออกแบบให้ทำงานภายหลังจากผู้โจมตีสามารถเข้าถึงระบบ Linux เป้าหมายได้สำเร็จ โดยอาจเกิดจากการใช้บัญชีผู้ใช้งานที่รั่วไหล การโจมตีผ่านช่องโหว่ หรือการเข้าถึงบริการที่เปิดสู่ภายนอกอินเทอร์เน็ต หลังจากติดตั้งสำเร็จ มัลแวร์จะสร้าง persistence ผ่าน service หรือ startup mechanism เพื่อให้สามารถทำงานต่อเนื่องได้หลังการรีบูตระบบ พร้อมเชื่อมต่อไปยัง Command and Control (C2) Server เพื่อรับคำสั่งจากผู้โจมตี
โดยมัลแวร์มีความสามารถในการซ่อนโปรเซสของตนเอง รวมถึงดึงโค้ดเพิ่มเติมจาก Pastebin หรือ dead drop ภายนอกเพื่อลดโอกาสในการตรวจจับ อีกทั้งยังสามารถสลับ C2 node ได้แบบ dynamic เพื่อหลีกเลี่ยงการ block หรือ detection นอกจากนี้ ผู้โจมตียังสามารถใช้ความสามารถด้าน SOCKS5 proxy และ port mapping ของมัลแวร์เพื่อทำ pivoting และเข้าถึงระบบอื่นภายในเครือข่ายองค์กรที่ไม่ได้เปิดสู่ภายนอก รวมถึงใช้เป็นช่องทางสำหรับการเคลื่อนย้ายภายในเครือข่าย (Lateral Movement) ได้อีกด้วย
3. Indicators of Compromise (IOC)
3.1 IP Addresses
– 139.84.227[.]139 – C2 node หลัก (Primary cluster)
– 194.135.25[.]132 – C2 node รอง (Primary cluster)
– 192.9.141[.]111 – C2 ที่เชื่อมโยงกับเหยื่อ
– 23.27.201[.]160 – โฮสต์โดเมนปลอม singtelcom[.]site
– 101.36.105[.]222 – โฮสต์โดเมนปลอม kaztelecom[.]shop
– 116.169.244[.]208 – IP Addresse ต้นทางที่น่าสงสัย
3.2 Domain Names
– telecom.webredirect[.]org – C2 hostname ที่ฝังอยู่ใน config
– singtelcom[.]site – โดเมนปลอมแอบอ้าง Singtel
– kaztelecom[.]shop – โดเมนปลอมแอบอ้าง Kazakhtelecom
3.3 TLS Certificate SHA256 Fingerprints
– 27df475626aafce2ea1548a9f35efb9ad951298c8b11a6adb3ccdfcd5170c677
– A72427af3c046fd90999a6505b2372dc4ffde122227f30ed21621ecd4f2d3e8b
– E28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0
– 2229e7f3cabbce4d67cd79c89fd5a100b20e8a99f4a2bf9aac77a978f49eb520
3.4 Ports ที่เกี่ยวข้อง
– Port 9999 – SOCKS5 proxy service
– Port 80 – การสื่อสาร C2 ผ่าน HTTP
– Port 53 – การสื่อสาร C2 ผ่าน DNS (เพื่อหลบเลี่ยง firewall)
รายการ IOC ที่อัปเดตล่าสุดสามารถติดตามเพิ่มเติมได้ผ่าน GitHub ของ Black Lotus Labs [2]
4. แนวทางการแก้ไข
ผู้ดูแลระบบควรดำเนินมาตรการป้องกันและตรวจสอบดังต่อไปนี้
4.1 บล็อก IP addresses และ domain names ที่เกี่ยวข้องตามรายการ IOC บน firewall และ DNS
4.2 ตรวจสอบ network traffic ที่ผิดปกติจากเซิร์ฟเวอร์ Linux โดยเฉพาะการเชื่อมต่อออกไปยัง port 9999, 53 (TCP) และ 80
4.3 ตรวจสอบโปรเซส (process) ที่อาจซ่อนตัวอยู่ภายในระบบ โดยเปรียบเทียบผลลัพธ์จากคำสั่ง ps aux กับรายการภายใต้ /proc
4.4 ตรวจสอบ service ที่ถูกลงทะเบียนใหม่โดยไม่ได้รับอนุญาตใน /etc/systemd/system/ หรือ /etc/init.d/
4.5 เฝ้าระวัง outbound traffic ไปยัง Pastebin หรือ paste sites อื่น ๆ จากเซิร์ฟเวอร์ภายในองค์กร
4.6 จำกัดการเชื่อมต่ออินเทอร์เน็ตของเซิร์ฟเวอร์ Linux ที่ไม่มีความจำเป็นต้องสื่อสารกับภายนอก
4.7 ตรวจสอบไฟล์ executable หรือไฟล์ที่ถูก compile สำหรับ AMD x86-64 ในตำแหน่งผิดปกติ เช่น /tmp/, /var/tmp/ และ /dev/shm/
4.8 ตรวจสอบ cron jobs, startup scripts และ scheduled tasks ที่น่าสงสัย
4.9 ตรวจสอบ TLS certificate fingerprints และ DNS query logs ตามรายการ IOC ภายในองค์กร
4.10 ตรวจสอบบัญชีผู้ใช้งาน สิทธิ์การเข้าถึง และ SSH keys ที่อาจถูกเพิ่มหรือแก้ไขโดยไม่ได้รับอนุญาต
4.11 เปิดใช้งานและจัดเก็บ logs ที่เกี่ยวข้อง เช่น authentication logs, process logs และ network logs เพื่อรองรับการตรวจสอบย้อนหลัง
4.12 หากพบระบบที่อาจถูกบุกรุก ควรแยก (isolate) ออกจากเครือข่ายทันที และดำเนินการ forensic analysis เพื่อวิเคราะห์สาเหตุและขอบเขตผลกระทบ
5. คำแนะนำด้านความมั่นคงปลอดภัยเพิ่มเติม
5.1 อัปเดต Linux kernel และแพ็กเกจต่าง ๆ ให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ
5.2 อัปเดต antivirus และ EDR solution ให้ทันสมัย แม้ว่ามัลแวร์ดังกล่าวอาจยังสามารถหลบเลี่ยงการตรวจจับได้ในบางกรณี
5.3 ทบทวนและปรับปรุง firewall rules รวมถึง network security policies ให้เหมาะสมกับความเสี่ยงในปัจจุบัน
5.4 สำรองข้อมูลที่สำคัญอย่างสม่ำเสมอ และทดสอบกระบวนการกู้คืนข้อมูล (restore) เพื่อให้สามารถกู้คืนระบบได้อย่างทันท่วงที
5.5 กำหนดหลักการ Least Privilege และจำกัดสิทธิ์การเข้าถึงระบบเฉพาะเท่าที่จำเป็นต่อการปฏิบัติงาน
แหล่งอ้างอิง