280/68 (IT) ประจำวันจันทร์ที่ 4 สิงหาคม 2568
นักวิจัยจาก Nextron Systems ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ “Plague” ที่แฝงตัวอยู่ในรูปแบบของโมดูล PAM (Pluggable Authentication Module) บนระบบปฏิบัติการ Linux โดยอาศัยช่องโหว่นี้ในการหลีกเลี่ยงกระบวนการยืนยันตัวตน (Authentication) และเปิดทางให้ผู้โจมตีสามารถเข้าถึงระบบผ่าน SSH ได้อย่างต่อเนื่องโดยไม่ต้องยืนยันรหัสผ่าน โดยมัลแวร์ดังกล่าวยังมีคุณสมบัติในการลบประวัติการใช้งานและปิดบังร่องรอยในระบบ เพื่อไม่ให้ผู้ดูแลสามารถตรวจจับได้ง่าย
มัลแวร์ Plague ถูกออกแบบมาอย่างซับซ้อน มีการใช้เทคนิค Obfuscation ปิดบังคำสั่งสำคัญในโค้ด ตั้งแต่การเข้ารหัสแบบ XOR ไปจนถึงการประยุกต์ใช้ DRBG (Deterministic Random Bit Generator) เพื่อป้องกันการวิเคราะห์จากทั้งระบบอัตโนมัติและเครื่องมือ reverse engineering เช่น IDA Pro นอกจากนี้ยังฝัง static password สำหรับการเข้าถึงลับ และมีฟีเจอร์ anti-debug เช่น การเปลี่ยนชื่อไฟล์ตัวเอง และการลบ shell history อย่างแนบเนียน
แม้ยังไม่มีการระบุชัดเจนว่ากลุ่มใดอยู่เบื้องหลัง Plague แต่นักวิจัยพบเบาะแสจากข้อความลับที่ซ่อนไว้ในตัวอย่างมัลแวร์ว่า “Uh. Mr. The Plague, sir? I think we have a hacker” ซึ่งอ้างอิงจากภาพยนตร์เรื่อง Hackers (1995) ทำให้คาดว่าเป็นผลงานของกลุ่มที่มีความเชี่ยวชาญสูง มัลแวร์ตัวนี้จึงถือเป็นภัยคุกคามร้ายแรงต่อโครงสร้างพื้นฐาน Linux ที่องค์กรต้องเร่งตรวจสอบการตั้งค่าระบบ PAM และตรวจจับโมดูลต้องสงสัยโดยทันทีเพื่อป้องกันการฝังตัวของ Backdoor
