Veszély-adatbázis Malware AryStinger kártevő

AryStinger kártevő

Egy újonnan felfedezett kártevőcsalád, az AryStinger, az elhagyott otthoni routereket nagyszabású felderítő és proxy hálózattá alakítja át a hagyományos, elosztott szolgáltatásmegtagadási (DDoS) botnetek helyett, amelyeket általában a feltört hálózati eszközökkel társítanak. Biztonsági kutatók már legalább 4300 fertőzött routert azonosítottak, és a szám várhatóan tovább fog növekedni.

A szolgáltatások megzavarására összpontosító hagyományos rosszindulatú kampányokkal ellentétben az AryStingert a kibertámadások korai szakaszának támogatására tervezték. A feltört eszközöket az internet szkennelésére, a futó szolgáltatások azonosítására, aldomének számbavételére, a hálózati forgalom átjáróként való kezelésére és parancsok távoli végrehajtására használják, mielőtt a gyűjtött információkat visszaküldik az operátoroknak. Minden fertőzött router hatékonyan felderítő csomópontként és anonimizáló közvetítőként is szolgál, amely elrejti a támadó valódi származását.

Elavuló hardverek és rég elfeledett sebezhetőségek célbavétele

A kampány elsősorban a Realtek RTL819X lapkakészletekkel működő routereket célozza meg, egy olyan hardvert, amelyet 2012 és 2015 között széles körben használtak. A kutatók először 2026. március 12-én figyelték meg a kártevőt, amikor a fertőzések egyetlen IP-címről származtak.

A telepített kártevő egy Linux ELF bináris fájl volt, amely kezdetben elkerülte a VirusTotal összes motorjának észlelését. A fertőzést két régebbi sebezhetőség kihasználásával érte el:

  • A CVE-2013-3307 biztonsági rést alkalmazó biztonsági rés bizonyos Linksys routereket érint.
  • A CVE-2016-5681 biztonsági rést kiváltó ok bizonyos D-Link eszközök.

A feltört rendszerek többsége D-Link termék, a DIR-850L modell a fertőzések körülbelül 75 százalékát teszi ki. Földrajzilag a fertőzések Dél-Koreában (48 százalék) és Kínában (32 százalék) koncentrálódnak, ezeket követi Svédország, Malajzia és Szingapúr.

Terjeszkedés a routereken túl

Egy második rosszindulatú program variáns jelent meg 2026. április 26-án, amely a QNAP NAS eszközöket vette célba a CVE-2025-11837 sebezhetőségen keresztül, amely egy kódbefecskendezési sebezhetőség, amely a QNAP Malware Remover segédprogramját érintette. Bár a sebezhetőséget már 2025 novemberében kijavították, a támadók néhány hónappal később elkezdték kihasználni azt.

Ironikus módon a fertőzési vektor a NAS eszköz saját kártevő-eltávolító alkalmazása. A jelentett 4300 feltört rendszer csak a fertőzött RTL819X routereket tartalmazza, az érintett NAS eszközöket nem.

Könnyűsúlyú kártevők nagy teljesítményű képességekkel

Az AryStinger router verziója C nyelven íródott, és a régebbi hardverek korlátozott erőforrásai miatt szándékosan könnyűsúlyú maradt. Elsődleges funkciói a tömeges DNS-szkennelés és a forgalom alagútkezelése.

A Go nyelven fejlesztett NAS verzió jelentősen szélesebb körű képességeket kínál. Képes mind belső, mind külső hálózatokat szkennelni, és olyan felderítő segédprogramokat telepíteni, mint az fscan, a ksubdomain és a httpx. A ScriptWork néven ismert funkció lehetővé teszi az operátorok számára, hogy a támadó által biztosított Go, Java vagy Python forráskódot közvetlenül a fertőzött rendszeren futtassák, így nincs szükség külön bináris fájlok fordítására minden egyes célponthoz.

A fertőzött eszközök és a parancs- és vezérlő (C2) szerverek közötti kommunikáció HTTP és HTTPS protokollon keresztül történik, Protobuf kódolású forgalom használatával, amelyet egy egyszerű XOR sémával obfuszkálnak, míg a Go-alapú változat gzip tömörítést alkalmaz. A nagy szkennelési feladatokat kisebb szegmensekre osztják és elosztják a botneten, lehetővé téve a párhuzamos felderítő műveleteket.

Perzisztencia és a visszaélés lehetősége

A rosszindulatú program hosszú távú hozzáférést biztosít egy Dropbear SSH szerver 2332-es porton történő telepítésével a routerek és a gs-netcat számára a feltört NAS rendszereken. A nyomozók egy fixen kódolt hitelesítési kulcsot, az „sh_#@!_2024_secret”-et is azonosítottak, amelyben a „2024” szerepeltetése arra utalhat, hogy a művelet fejlesztése abban az évben kezdődött, bár ezt nem lehet biztosan megerősíteni.

Bár a felderítés tűnik az elsődleges célnak, a rosszindulatú program DNS-szkennelési képességei átirányíthatók a DNS-feloldók felé is, hogy szükség esetén szolgáltatásmegtagadási forgalmat generáljanak.

Ismerős minta: Működő relédobozos hálózatok

Az AryStinger által létrehozott infrastruktúra szorosan hasonlít az Operational Relay Box (ORB) hálózatokra. Ezek a hálózatok feltört, leselejtezett routerekből és IoT-eszközökből állnak, amelyek lehetővé teszik a fenyegetések szereplői számára, hogy szkennelési műveleteket végezzenek és rosszindulatú forgalmat továbbítsanak, miközben továbbra is nehezen követhetők.

A megközelítés korábbi incidenseket idéz. 2025 májusában az FBI és az Egyesült Államok Igazságügyi Minisztériuma felszámolta a 5socks és az Anyproxy szolgáltatásokat, amelyek a TheMoon rosszindulatú programmal fertőzött elavult Linksys és Cisco routerek kihasználásával pénzzé tették a lakossági proxy hozzáférést. Újabban olyan ORB műveletek, mint a LapDogs, hasonlóan az elavult eszközök javítatlan sebezhetőségeire támaszkodtak.

Jelenleg az AryStingert nem sikerült meggyőzően egyetlen konkrét fenyegetési szereplőhöz sem kötni. A működési modell azonban félreérthetetlen: elavult hardvereket és elfeledett sebezhetőségeket alakítanak át lopakodó infrastruktúrává, amely támogatja a kifinomult kibertámadások kezdeti szakaszát.

Észlelési és mérséklési stratégiák

A potenciálisan érintett berendezéseket üzemeltető szervezeteknek és magánszemélyeknek azonnal ki kell vizsgálniuk a kompromittálódás jeleit, és hosszú távú korrekciós intézkedéseket kell végrehajtaniuk.

  • Figyelje a kimenő kapcsolatokat az AryStinger parancs- és vezérlőkiszolgálóihoz és letöltési tartományaihoz.
  • Vizsgáld meg a /tmp/bin könyvtárat ismeretlen bináris fájlok után kutatva.
  • Keressen gyanús folyamatokat syswapd0h vagy syswapd0w néven.

A leghatékonyabb védekezés továbbra is egyszerű: vonjuk ki a forgalomból azokat a hálózati berendezéseket, amelyek már nem kapnak firmware-frissítéseket, és amikor csak lehetséges, tiltsuk le a távoli adminisztrációt az internetnek kitett eszközökön. Azok a hardverek, amelyek évekkel ezelőtt leálltak a biztonsági javítások fogadásával, valószínűleg nem kapnak védelmet a modern fenyegetésekkel szemben.

Betöltés...