มัลแวร์โชว์โบ๊ท

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบเฟรมเวิร์กมัลแวร์ Linux ที่ไม่เคยมีการบันทึกมาก่อนชื่อ Showboat ซึ่งถูกนำไปใช้โจมตีผู้ให้บริการโทรคมนาคมในตะวันออกกลางมาตั้งแต่กลางปี 2022 เป็นอย่างน้อย มัลแวร์นี้ทำงานเป็นชุดเครื่องมือแบบโมดูลาร์หลังการเจาะระบบ ซึ่งสามารถทำให้เข้าถึงเชลล์ระยะไกล ถ่ายโอนไฟล์ และทำหน้าที่เป็นพร็อกซี SOCKS5 ภายในสภาพแวดล้อมที่ถูกบุกรุกได้

นักวิเคราะห์ด้านความปลอดภัยเชื่อว่ามัลแวร์นี้เชื่อมโยงกับกลุ่มภัยคุกคามที่เกี่ยวข้องกับจีนอย่างน้อยหนึ่งกลุ่ม นักสืบพบความเชื่อมโยงระหว่างโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ของมัลแวร์กับที่อยู่ IP ที่ติดตามไปยังเมืองเฉิงตู เมืองหลวงของมณฑลเสฉวน ประเทศจีน ซึ่งทำให้เกิดข้อสงสัยมากขึ้นว่ารัฐบาลจีนมีส่วนเกี่ยวข้อง

ความเชื่อมโยงกับปฏิบัติการคุกคามที่เชื่อมโยงกับจีนซึ่งจัดตั้งขึ้นแล้ว

หนึ่งในกลุ่มที่เกี่ยวข้องกับกิจกรรมนี้คือ Calypso หรือที่รู้จักกันในชื่อ Bronze Medley และ Red Lamassu กลุ่มผู้ก่อภัยคุกคามนี้มีการเคลื่อนไหวมาอย่างน้อยตั้งแต่เดือนกันยายน 2016 และในอดีตได้กำหนดเป้าหมายไปยังหน่วยงานรัฐบาลและสถาบันต่างๆ ในบราซิล อินเดีย คาซัคสถาน รัสเซีย ไทย และตุรกี การรายงานต่อสาธารณะเกี่ยวกับกลุ่มนี้ปรากฏขึ้นครั้งแรกในปี 2019 ผ่านงานวิจัยที่เผยแพร่โดย Positive Technologies

ก่อนหน้านี้ Calypso อาศัยตระกูลมัลแวร์ เช่น PlugX รวมถึงแบ็กดอร์อย่าง WhiteBird และ BYEBY โดยมัลแวร์ BYEBY เป็นส่วนหนึ่งของกลุ่มปฏิบัติการขนาดใหญ่ที่เรียกว่า Mikroceen ซึ่งเชื่อมโยงกับกลุ่มภัยคุกคาม SixLittleMonkeys ด้วย นักวิจัยยังสังเกตเห็นความคล้ายคลึงกันทางยุทธวิธีระหว่าง SixLittleMonkeys กับปฏิบัติการอีกกลุ่มหนึ่งที่เชื่อมโยงกับจีนซึ่งรู้จักกันในชื่อ Webworm

การปรากฏตัวของ Showboat ควบคู่ไปกับเฟรมเวิร์กที่ใช้ร่วมกัน เช่น PlugX, ShadowPad และ NosyDoor ชี้ให้เห็นถึงแนวโน้มที่กว้างขึ้นในกลุ่มผู้คุกคามที่เชื่อมโยงกับจีน นั่นคือ การนำเครื่องมือโจมตีทางไซเบอร์มาใช้ซ้ำและเผยแพร่ในกลุ่มจารกรรมหลายกลุ่ม รูปแบบนี้บ่งชี้อย่างชัดเจนถึงการมีอยู่ของ 'ผู้จัดหาอุปกรณ์ดิจิทัล' ส่วนกลางที่รับผิดชอบในการจัดหามัลแวร์และทรัพยากรปฏิบัติการให้กับผู้ปฏิบัติการที่ได้รับการสนับสนุนจากรัฐ

ความสามารถขั้นสูงของช่องโหว่ใน Linux ก่อให้เกิดความกังวลอย่างมาก

การสืบสวนเริ่มต้นขึ้นหลังจากที่นักวิจัยวิเคราะห์ไฟล์ไบนารี ELF ที่ถูกอัปโหลดในเดือนพฤษภาคม 2025 ซึ่งในเบื้องต้นถูกจัดประเภทเป็นแบ็กดอร์ Linux ขั้นสูงที่มีฟังก์ชันการทำงานคล้ายรูทคิต ตัวอย่างมัลแวร์นี้ยังถูกติดตามภายใต้ชื่อ EvaRAT อีกด้วย

แม้ว่าวิธีการแพร่กระจายเชื้อที่แน่ชัดยังคงไม่เป็นที่ทราบแน่ชัด แต่การโจมตีของกลุ่ม Calypso ในครั้งก่อนๆ เกี่ยวข้องกับการติดตั้งเว็บเชลล์ ASPX หลังจากใช้ประโยชน์จากช่องโหว่หรือบุกรุกบัญชีการเข้าถึงระยะไกลเริ่มต้น กลุ่มนี้ยังเป็นหนึ่งในกลุ่มผู้คุกคามชาวจีนกลุ่มแรกๆ ที่นำเอาช่องโหว่ CVE-2021-26855 ซึ่งเป็นช่องโหว่ของ Microsoft Exchange Server ที่เป็นจุดเริ่มต้นของห่วงโซ่การโจมตี ProxyLogon ที่โด่งดัง มาใช้เป็นอาวุธ

Showboat ถูกออกแบบมาเพื่อสร้างการสื่อสารกับเซิร์ฟเวอร์ C2 ระยะไกล รวบรวมข้อมูลระบบโดยละเอียด และส่งข้อมูลที่รวบรวมได้ในรูปแบบเข้ารหัสและเข้ารหัส Base64 ที่ซ่อนอยู่ภายในฟิลด์ PNG มัลแวร์นี้ยังรองรับคุณสมบัติการซ่อนตัวและการปฏิบัติงานที่หลากหลาย รวมถึง:

• ฟังก์ชันการอัปโหลดและดาวน์โหลดไฟล์
• เทคนิคการปกปิดกระบวนการ
• การจัดการเซิร์ฟเวอร์ C2
• การสแกนเครือข่ายภายใน
• การสร้างอุโมงค์พร็อกซี SOCKS5 สำหรับการเคลื่อนที่ด้านข้าง

เพื่อหลีกเลี่ยงการตรวจจับบนเครื่องที่ถูกโจมตี Showboat จะดึงโค้ดส่วนหนึ่งจาก Pastebin โดยนักวิจัยได้ติดตามเนื้อหาดังกล่าวไปถึงวันที่ 11 มกราคม 2022 นักวิเคราะห์เชื่อว่าเป้าหมายหลักของมัลแวร์นี้คือการเข้าถึงเครือข่ายเป้าหมายอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งระบบที่แยกจากอินเทอร์เน็ตโดยตรงและเข้าถึงได้ผ่านการเชื่อมต่อ LAN ภายในเท่านั้น

การขยายโครงสร้างพื้นฐานเผยให้เห็นถึงเหยื่อในระดับนานาชาติ

จากการตรวจสอบโครงสร้างพื้นฐานด้านภัยคุกคามเพิ่มเติม พบว่ามีองค์กรเป้าหมายหลายแห่งกระจายอยู่หลายภูมิภาค นักวิจัยระบุผู้ให้บริการอินเทอร์เน็ตในอัฟกานิสถาน และองค์กรที่ไม่ระบุชื่ออีกแห่งหนึ่งในอาเซอร์ไบจาน นอกจากนี้ กลุ่มเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) กลุ่มที่สองที่ใช้ใบรับรอง X.509 ที่คล้ายกัน ยังชี้ให้เห็นถึงความเป็นไปได้ที่หน่วยงานในสหรัฐอเมริกาและยูเครนจะถูกโจมตีด้วย

การแพร่กระจายของมัลแวร์ฝังตัวแบบถาวรแสดงให้เห็นว่า แม้กลุ่มแฮกเกอร์หลายกลุ่มจะใช้เทคนิค "การซ่อนตัว" ที่แนบเนียนยิ่งขึ้น แต่กลุ่มแฮกเกอร์ขั้นสูงยังคงพึ่งพาแบ็กดอร์ที่สร้างขึ้นเองเพื่อการเข้าถึงและการควบคุมการทำงานในระยะยาว ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่า การค้นพบมัลแวร์เช่น Showboat ควรได้รับการพิจารณาว่าเป็นตัวบ่งชี้ที่สำคัญของการโจมตีที่อาจขยายวงกว้างขึ้นภายในเครือข่ายที่ได้รับผลกระทบ

JFMBackdoor ขยายแคมเปญออกไปนอกระบบ Linux

นอกจาก Showboat แล้ว นักวิจัยยังสังเกตเห็นว่า Calypso ใช้มัลแวร์สำหรับ Windows ที่มีคุณสมบัติครบถ้วนชื่อ JFMBackdoor ในการโจมตีภาคโทรคมนาคมของอัฟกานิสถาน มัลแวร์นี้ถูกส่งผ่านการโหลด DLL แบบ side-loading ซึ่งเป็นเทคนิคที่ใช้ประโยชน์จากแอปพลิเคชันที่ถูกต้องตามกฎหมายเพื่อโหลดไลบรารีแบบไดนามิกที่เป็นอันตราย

กระบวนการแพร่ระบาดเริ่มต้นด้วยสคริปต์แบบแบตช์ที่เรียกใช้ไฟล์ปฏิบัติการที่เชื่อถือได้ ซึ่งจะโหลดไฟล์ DLL ที่เป็นอันตรายในภายหลัง เมื่อทำงานแล้ว JFMBackdoor จะทำให้ผู้โจมตีสามารถควบคุมระบบที่ถูกบุกรุกได้อย่างกว้างขวาง ฟังก์ชันการทำงานของมันประกอบด้วย:

• การเรียกใช้เชลล์ระยะไกล

การมุ่งเน้นไปที่อัฟกานิสถานและโครงสร้างพื้นฐานด้านโทรคมนาคมของประเทศนั้น สอดคล้องอย่างใกล้ชิดกับวัตถุประสงค์เชิงกลยุทธ์ที่กว้างขึ้นซึ่งเคยเกี่ยวข้องกับการปฏิบัติการเรดลามัสซูมาก่อน และตอกย้ำการประเมินที่ว่าการรณรงค์ครั้งนี้เป็นส่วนหนึ่งของความพยายามจารกรรมทางไซเบอร์ขนาดใหญ่ที่เชื่อมโยงกับกิจกรรมคุกคามของจีน