แสดงผลปกติ
search facebook contact
สำนักงาน หอสมุดกลาง ระบบสารสนเทศ คอมพิวเตอร์

เตือนภัย! “Showboat” มัลแวร์ใหม่บน Linux เพิ่มความเสี่ยงถูกยึดระบบและขโมยข้อมูลสำคัญ

 25 พ.ค. 2569 / Administrator / 32

HIGH ALERT Linux Malware

แจ้งเตือนภัยคุกคาม: มัลแวร์ “Showboat”

Linux-based post-exploitation framework มุ่งเป้าควบคุมระบบและยกระดับสิทธิ์การเข้าถึง

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามช่องโหว่ด้านความมั่นคงปลอดภัยไซเบอร์เกี่ยวกับมัลแวร์ใหม่ชื่อ “Showboat” ซึ่งเปิดช่องให้ผู้โจมตีสามารถควบคุมระบบ ยกระดับสิทธิ์การเข้าถึง และขโมยข้อมูลสำคัญจากระบบได้ ผู้ดูแลระบบควรตรวจสอบความผิดปกติของระบบและดำเนินมาตรการป้องกันโดยเร็ว

1. รายละเอียดของมัลแวร์ [1]

  • พบโดยทีมวิจัย Black Lotus Labs เป็น modular post-exploitation framework สำหรับ Linux (AMD x86-64) ใช้งานมาตั้งแต่ปี 2565
  • มัลแวร์มีความสามารถในการซ่อนตัวสูงมาก (Undetected บน VirusTotal นานเกือบปี)
  • มุ่งเป้าโจมตีผู้ให้บริการโทรคมนาคมและอินเทอร์เน็ต (ISP) ทั้งในตะวันออกกลางและเอเชีย เช่น แอบอ้างโดเมนคล้าย Singtel และ Kazakhtelecom

2. รูปแบบการโจมตี

มัลแวร์จะทำงานหลังผู้โจมตีเข้าถึงระบบได้ (ผ่านบัญชีรั่วไหลหรือช่องโหว่) จากนั้นจะสร้าง Persistence ในระบบ และติดต่อกลับไปยัง C2 Server ผู้โจมตีสามารถซ่อนโปรเซส ดึงโค้ดเพิ่มเติม เปลี่ยน C2 ได้แบบไดนามิก รวมถึงใช้ SOCKS5 proxy ทำ Pivoting และ Lateral Movement เข้าสู่เครือข่ายภายในองค์กรได้

3. Indicators of Compromise (IOC)

🔴 3.1 IP Addresses & Domains

  • 139.84.227[.]139 (Primary C2)
  • 194.135.25[.]132 (Primary C2)
  • 192.9.141[.]111 (Victim C2)
  • 23.27.201[.]160 (Fake Singtel)
  • 101.36.105[.]222 (Fake Kazakhtel)
  • telecom.webredirect[.]org
  • singtelcom[.]site
  • kaztelecom[.]shop

🔑 3.2 Fingerprints & Ports

SHA256 Fingerprints:

27df475626aafce2ea1548a9f35efb9ad951298c8b11a6adb3ccdfcd5170c677
A72427af3c046fd90999a6505b2372dc4ffde122227f30ed21621ecd4f2d3e8b
E28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0
2229e7f3cabbce4d67cd79c89fd5a100b20e8a99f4a2bf9aac77a978f49eb520

Ports (พอร์ตที่เกี่ยวข้อง):

9999 (SOCKS5)80 (HTTP)53 (DNS)

4. แนวทางการแก้ไข

บล็อก IP addresses และ domain names ที่เกี่ยวข้องตามรายการ IOC บน Firewall และ DNS
ตรวจสอบ network traffic ผิดปกติจากเซิร์ฟเวอร์ Linux โดยเฉพาะ port 9999, 53, 80
ตรวจสอบ Process ซ่อนตัว (เทียบ `ps aux` กับ `/proc`) และ Service ที่น่าสงสัยใน `/etc/systemd/system/`
เฝ้าระวัง Outbound traffic ไปยัง Pastebin หรือเชื่อมต่ออินเทอร์เน็ตที่ไม่มีความจำเป็น
ตรวจสอบไฟล์ executable ในตำแหน่งแปลกประหลาด เช่น `/tmp/`, `/var/tmp/`, `/dev/shm/`
ตรวจสอบบัญชีผู้ใช้งาน, สิทธิ์, SSH keys, cron jobs ที่อาจถูกแก้ไขโดยไม่ได้รับอนุญาต
หากพบระบบถูกบุกรุก ควร Isolate ออกจากเครือข่ายทันทีและทำ Forensic Analysis

5. คำแนะนำด้านความมั่นคงปลอดภัยเพิ่มเติม

  • อัปเดต Linux kernel, แพ็กเกจ, Antivirus และ EDR ให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ
  • ทบทวนและปรับปรุง Firewall rules รวมถึง Network security policies ให้รัดกุม
  • สำรองข้อมูลสำคัญสม่ำเสมอ และทดสอบกระบวนการกู้คืนข้อมูล (Restore) ให้พร้อมใช้งาน
  • กำหนดหลักการ Least Privilege จำกัดสิทธิ์การเข้าถึงระบบเฉพาะเท่าที่จำเป็น

เปิด-ปิด messenger การเดินทางด้วย Google Map ติดต่อเกี่ยวกับไอทีและหอสมุดกลาง