មេរោគ AryStinger

មេរោគ​មួយ​ក្រុម​ដែល​ទើប​រក​ឃើញ​ថ្មី​មួយ​ឈ្មោះ AryStinger កំពុង​ប្រែក្លាយ​រ៉ោតទ័រ​ផ្ទះ​ដែល​គេ​បោះបង់ចោល​ទៅ​ជា​បណ្តាញ​ឈ្លបយកការណ៍​ទ្រង់ទ្រាយ​ធំ និង​បណ្តាញ​ប្រូកស៊ី ជាជាង​បណ្តាញ​ប្រឆាំង​ការ​បដិសេធ​សេវាកម្ម​ចែកចាយ (DDoS) បែប​ប្រពៃណី​ដែល​ត្រូវ​បាន​ភ្ជាប់​ជា​ទូទៅ​ជាមួយ​ឧបករណ៍​បណ្តាញ​ដែល​រង​ការ​វាយប្រហារ។ ក្រុម​អ្នកស្រាវជ្រាវ​សន្តិសុខ​បាន​កំណត់​អត្តសញ្ញាណ​រ៉ោតទ័រ​ដែល​ឆ្លង​មេរោគ​យ៉ាង​ហោច​ណាស់ 4,300 គ្រឿង​រួច​ហើយ ហើយ​ចំនួន​នេះ​ត្រូវ​បាន​គេ​រំពឹង​ថា​នឹង​បន្ត​កើនឡើង។

មិនដូចយុទ្ធនាការមេរោគធម្មតាដែលផ្តោតលើការរំខានដល់សេវាកម្មទេ AryStinger ត្រូវបានរចនាឡើងដើម្បីគាំទ្រដល់ដំណាក់កាលដំបូងនៃការឈ្លានពានតាមអ៊ីនធឺណិត។ ឧបករណ៍ដែលរងការគំរាមកំហែងត្រូវបានប្រើដើម្បីស្កេនអ៊ីនធឺណិត កំណត់អត្តសញ្ញាណសេវាកម្មដែលកំពុងដំណើរការ រាប់បញ្ចូលដែនរង បញ្ជូនចរាចរណ៍បណ្តាញផ្លូវរូងក្រោមដី និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយមុនពេលបញ្ជូនព័ត៌មានដែលប្រមូលបានត្រឡប់ទៅប្រតិបត្តិករវិញ។ រ៉ោតទ័រដែលឆ្លងមេរោគនីមួយៗដើរតួយ៉ាងមានប្រសិទ្ធភាពជាថ្នាំងឈ្លបយកការណ៍ និងជាឧបករណ៍បញ្ជូនបន្តអនាមិកដែលលាក់បាំងប្រភពដើមពិតរបស់អ្នកវាយប្រហារ។

ការកំណត់គោលដៅផ្នែករឹងចាស់ៗ និងភាពងាយរងគ្រោះដែលត្រូវបានបំភ្លេចចោលជាយូរមកហើយ

យុទ្ធនាការនេះផ្តោតជាចម្បងលើរ៉ោតទ័រដែលដំណើរការដោយបន្ទះឈីប Realtek RTL819X ដែលជាផ្នែករឹងដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយរវាងឆ្នាំ 2012 និង 2015។ អ្នកស្រាវជ្រាវបានសង្កេតឃើញមេរោគនេះជាលើកដំបូងនៅថ្ងៃទី 12 ខែមីនា ឆ្នាំ 2026 នៅពេលដែលការឆ្លងមេរោគមានប្រភពមកពីអាសយដ្ឋាន IP តែមួយ។

មេរោគ​ដែល​បាន​ដាក់​ពង្រាយ​គឺជា​ប្រព័ន្ធ​គោល​ពីរ Linux ELF ដែល​ដំបូង​ឡើយ​គេចវេះ​ការ​រក​ឃើញ​ដោយ​ម៉ាស៊ីន​នីមួយៗ​នៅ​លើ VirusTotal។ វា​សម្រេច​បាន​ការ​ឆ្លង​មេរោគ​ដោយ​ការ​កេង​ប្រវ័ញ្ច​ភាព​ងាយ​រងគ្រោះ​ចាស់​ពីរ៖

  • CVE-2013-3307 ប៉ះពាល់ដល់រ៉ោតទ័រ Linksys មួយចំនួន។
  • CVE-2016-5681 ប៉ះពាល់ដល់ឧបករណ៍ D-Link ជាក់លាក់។

ប្រព័ន្ធ​ដែល​រង​ការ​វាយប្រហារ​ភាគច្រើន​គឺជា​ផលិតផល D-Link ដោយ​ម៉ូដែល DIR-850L មាន​ចំនួន​ប្រហែល 75 ភាគរយ​នៃ​ការ​ឆ្លង​មេរោគ។ តាម​ភូមិសាស្ត្រ ការ​ឆ្លង​មេរោគ​ភាគច្រើន​ប្រមូលផ្តុំ​នៅ​ក្នុង​ប្រទេស​កូរ៉េ​ខាងត្បូង (48 ភាគរយ) និង​ចិន (32 ភាគរយ) បន្ទាប់មក​គឺ​ប្រទេស​ស៊ុយអែត ម៉ាឡេស៊ី និង​សិង្ហបុរី។

ការពង្រីកលើសពីរ៉ោតទ័រ

មេរោគ​ប្រភេទ​ទីពីរ​បាន​លេចចេញ​នៅ​ថ្ងៃទី 26 ខែមេសា ឆ្នាំ 2026 ដោយ​កំណត់​គោលដៅ​លើ​ឧបករណ៍ QNAP NAS តាមរយៈ CVE-2025-11837 ដែលជា​ចំណុចខ្សោយ​នៃ​ការចាក់​កូដ​ដែល​ប៉ះពាល់​ដល់​ឧបករណ៍​ប្រើប្រាស់ Malware Remover របស់ QNAP។ ទោះបីជា​ចំណុចខ្សោយ​នេះ​ត្រូវ​បាន​ជួសជុល​រួចហើយ​នៅក្នុង​ខែវិច្ឆិកា ឆ្នាំ 2025 ក៏ដោយ ក៏​អ្នកវាយប្រហារ​បានចាប់ផ្តើម​កេងប្រវ័ញ្ច​វា​ជាច្រើនខែ​ក្រោយមក។

គួរឱ្យហួសចិត្តណាស់ វ៉ិចទ័រនៃការឆ្លងមេរោគនេះគឺជាកម្មវិធីលុបមេរោគរបស់ឧបករណ៍ NAS ផ្ទាល់។ តួលេខដែលបានរាយការណ៍អំពីប្រព័ន្ធចំនួន 4,300 ដែលរងការគំរាមកំហែងរួមបញ្ចូលតែរ៉ោតទ័រ RTL819X ដែលឆ្លងមេរោគប៉ុណ្ណោះ ហើយមិនរាប់បញ្ចូលឧបករណ៍ NAS ដែលរងផលប៉ះពាល់នោះទេ។

មេរោគ​ស្រាល​ជាមួយ​នឹង​សមត្ថភាព​ដ៏​មាន​ឥទ្ធិពល

កំណែរ៉ោតទ័ររបស់ AryStinger ត្រូវបានសរសេរជាភាសា C ហើយចេតនានៅតែមានទម្ងន់ស្រាលដោយសារតែធនធានមានកំណត់នៃផ្នែករឹងចាស់ៗ។ មុខងារចម្បងរបស់វាគឺការស្កេន DNS ដ៏ធំ និងការរុករកផ្លូវរូងក្រោមដីចរាចរណ៍។

កំណែ NAS ដែលត្រូវបានបង្កើតឡើងនៅក្នុង Go ផ្តល់នូវសមត្ថភាពទូលំទូលាយជាង។ វាអាចស្កេនបណ្តាញទាំងខាងក្នុង និងខាងក្រៅ និងដាក់ពង្រាយឧបករណ៍ឈ្លបយកការណ៍ដូចជា fscan, ksubdomain និង httpx។ លក្ខណៈពិសេសមួយដែលគេស្គាល់ថាជា ScriptWork អនុញ្ញាតឱ្យប្រតិបត្តិករប្រតិបត្តិកូដប្រភព Go, Java ឬ Python ដែលផ្គត់ផ្គង់ដោយអ្នកវាយប្រហារដោយផ្ទាល់នៅលើប្រព័ន្ធដែលឆ្លងមេរោគ ដោយលុបបំបាត់តម្រូវការក្នុងការចងក្រងប្រព័ន្ធគោលពីរដាច់ដោយឡែកសម្រាប់គោលដៅនីមួយៗ។

ការទំនាក់ទំនងរវាងឧបករណ៍ដែលឆ្លងមេរោគ និងម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យ (C2) កើតឡើងតាមរយៈ HTTP និង HTTPS ដោយប្រើចរាចរណ៍ដែលបានអ៊ិនកូដដោយ Protobuf ដែលត្រូវបានបិទបាំងដោយគ្រោងការណ៍ XOR សាមញ្ញ ខណៈពេលដែលវ៉ារ្យ៉ង់ដែលមានមូលដ្ឋានលើ Go បន្ថែមការបង្ហាប់ gzip។ កិច្ចការស្កេនធំៗត្រូវបានបែងចែកជាផ្នែកតូចៗ និងចែកចាយពាសពេញបណ្តាញ botnet ដែលអាចឱ្យមានប្រតិបត្តិការឈ្លបយកការណ៍ស្របគ្នា។

ការតស៊ូ និងសក្តានុពលសម្រាប់ការរំលោភបំពាន

មេរោគនេះរក្សាការចូលប្រើរយៈពេលវែងដោយដាក់ពង្រាយម៉ាស៊ីនមេ Dropbear SSH នៅលើច្រក 2332 សម្រាប់រ៉ោតទ័រ និង gs-netcat នៅលើប្រព័ន្ធ NAS ដែលរងការសម្របសម្រួល។ អ្នកស៊ើបអង្កេតក៏បានកំណត់អត្តសញ្ញាណកូនសោផ្ទៀងផ្ទាត់ដែលបានអ៊ិនកូដរឹងមួយ 'sh_#@!_2024_secret' ដែលការដាក់បញ្ចូល '2024' របស់វាអាចបង្ហាញថាការអភិវឌ្ឍនៃប្រតិបត្តិការបានចាប់ផ្តើមនៅឆ្នាំនោះ ទោះបីជាមិនអាចបញ្ជាក់បានដោយភាពប្រាកដប្រជាក៏ដោយ។

ទោះបីជាការឈ្លបយកការណ៍ហាក់ដូចជាគោលបំណងចម្បងក៏ដោយ សមត្ថភាពស្កេន DNS របស់មេរោគក៏អាចត្រូវបានបញ្ជូនបន្តទៅកាន់ឧបករណ៍ដោះស្រាយ DNS ដើម្បីបង្កើតចរាចរណ៍បដិសេធសេវាកម្មនៅពេលចាំបាច់។

គំរូដែលធ្លាប់ស្គាល់៖ បណ្តាញប្រអប់បញ្ជូនបន្តប្រតិបត្តិការ

ហេដ្ឋារចនាសម្ព័ន្ធដែលបង្កើតឡើងដោយ AryStinger គឺស្រដៀងគ្នាទៅនឹងបណ្តាញ Operational Relay Box (ORB)។ បណ្តាញទាំងនេះមានរ៉ោតទ័រដែលខូច និងឧបករណ៍ IoT ដែលអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងធ្វើប្រតិបត្តិការស្កេន និងបញ្ជូនចរាចរណ៍ព្យាបាទ ខណៈពេលដែលនៅតែពិបាកក្នុងការតាមដាន។

វិធីសាស្រ្តនេះឆ្លុះបញ្ចាំងពីឧប្បត្តិហេតុពីមុន។ នៅក្នុងខែឧសភា ឆ្នាំ២០២៥ FBI និងក្រសួងយុត្តិធម៌សហរដ្ឋអាមេរិកបានរុះរើសេវាកម្ម 5socks និង Anyproxy ដែលបានរកប្រាក់ចំណូលពីការចូលប្រើប្រូកស៊ីលំនៅដ្ឋានដោយការកេងប្រវ័ញ្ចរ៉ោតទ័រ Linksys និង Cisco ហួសសម័យដែលឆ្លងមេរោគ TheMoon។ ថ្មីៗនេះ ប្រតិបត្តិការ ORB ដូចជា LapDogs បានពឹងផ្អែកលើភាពងាយរងគ្រោះដែលមិនទាន់បានជួសជុលនៅក្នុងឧបករណ៍ចាស់ៗ។

បច្ចុប្បន្ននេះ AryStinger មិនទាន់ត្រូវបានសន្មត់ថាជាកត្តាគំរាមកំហែងជាក់លាក់ណាមួយនៅឡើយទេ។ ទោះជាយ៉ាងណាក៏ដោយ គំរូប្រតិបត្តិការគឺមិនអាចច្រឡំបានទេ៖ ផ្នែករឹងហួសសម័យ និងភាពងាយរងគ្រោះដែលត្រូវបានបំភ្លេចចោល កំពុងត្រូវបានបំប្លែងទៅជាហេដ្ឋារចនាសម្ព័ន្ធលួចលាក់ ដែលគាំទ្រដល់ដំណាក់កាលដំបូងនៃការឈ្លានពានតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ។

យុទ្ធសាស្ត្ររកឃើញ និងកាត់បន្ថយ

អង្គការ និងបុគ្គលដែលដំណើរការឧបករណ៍ដែលអាចរងផលប៉ះពាល់គួរតែស៊ើបអង្កេតជាបន្ទាន់សម្រាប់សូចនាករនៃការសម្របសម្រួល និងអនុវត្តវិធានការដោះស្រាយរយៈពេលវែង។

  • ត្រួតពិនិត្យការតភ្ជាប់ចេញទៅម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យ AryStinger និងដែនទាញយក។
  • សូមពិនិត្យមើលថតឯកសារ /tmp/bin សម្រាប់ឯកសារគោលពីរដែលមិនស្គាល់។
  • ស្វែងរកដំណើរការគួរឱ្យសង្ស័យដែលមានឈ្មោះថា syswapd0h ឬ syswapd0w។
  • ការការពារដ៏មានប្រសិទ្ធភាពបំផុតនៅតែសាមញ្ញ៖ ចូលនិវត្តន៍ឧបករណ៍បណ្តាញដែលលែងប្រើប្រាស់រួច ដែលលែងទទួលបានការអាប់ដេតកម្មវិធីបង្កប់ និងបិទការគ្រប់គ្រងពីចម្ងាយលើឧបករណ៍ដែលប៉ះពាល់នឹងអ៊ីនធឺណិតនៅពេលណាដែលអាចធ្វើទៅបាន។ ផ្នែករឹងដែលឈប់ទទួលបំណះសុវត្ថិភាពកាលពីប៉ុន្មានឆ្នាំមុនទំនងជាមិនទទួលបានការការពារប្រឆាំងនឹងការគំរាមកំហែងទំនើបៗនោះទេ។

    កំពុង​ផ្ទុក...