មេរោគ AryStinger
មេរោគមួយក្រុមដែលទើបរកឃើញថ្មីមួយឈ្មោះ AryStinger កំពុងប្រែក្លាយរ៉ោតទ័រផ្ទះដែលគេបោះបង់ចោលទៅជាបណ្តាញឈ្លបយកការណ៍ទ្រង់ទ្រាយធំ និងបណ្តាញប្រូកស៊ី ជាជាងបណ្តាញប្រឆាំងការបដិសេធសេវាកម្មចែកចាយ (DDoS) បែបប្រពៃណីដែលត្រូវបានភ្ជាប់ជាទូទៅជាមួយឧបករណ៍បណ្តាញដែលរងការវាយប្រហារ។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់អត្តសញ្ញាណរ៉ោតទ័រដែលឆ្លងមេរោគយ៉ាងហោចណាស់ 4,300 គ្រឿងរួចហើយ ហើយចំនួននេះត្រូវបានគេរំពឹងថានឹងបន្តកើនឡើង។
មិនដូចយុទ្ធនាការមេរោគធម្មតាដែលផ្តោតលើការរំខានដល់សេវាកម្មទេ AryStinger ត្រូវបានរចនាឡើងដើម្បីគាំទ្រដល់ដំណាក់កាលដំបូងនៃការឈ្លានពានតាមអ៊ីនធឺណិត។ ឧបករណ៍ដែលរងការគំរាមកំហែងត្រូវបានប្រើដើម្បីស្កេនអ៊ីនធឺណិត កំណត់អត្តសញ្ញាណសេវាកម្មដែលកំពុងដំណើរការ រាប់បញ្ចូលដែនរង បញ្ជូនចរាចរណ៍បណ្តាញផ្លូវរូងក្រោមដី និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយមុនពេលបញ្ជូនព័ត៌មានដែលប្រមូលបានត្រឡប់ទៅប្រតិបត្តិករវិញ។ រ៉ោតទ័រដែលឆ្លងមេរោគនីមួយៗដើរតួយ៉ាងមានប្រសិទ្ធភាពជាថ្នាំងឈ្លបយកការណ៍ និងជាឧបករណ៍បញ្ជូនបន្តអនាមិកដែលលាក់បាំងប្រភពដើមពិតរបស់អ្នកវាយប្រហារ។
តារាងមាតិកា
ការកំណត់គោលដៅផ្នែករឹងចាស់ៗ និងភាពងាយរងគ្រោះដែលត្រូវបានបំភ្លេចចោលជាយូរមកហើយ
យុទ្ធនាការនេះផ្តោតជាចម្បងលើរ៉ោតទ័រដែលដំណើរការដោយបន្ទះឈីប Realtek RTL819X ដែលជាផ្នែករឹងដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយរវាងឆ្នាំ 2012 និង 2015។ អ្នកស្រាវជ្រាវបានសង្កេតឃើញមេរោគនេះជាលើកដំបូងនៅថ្ងៃទី 12 ខែមីនា ឆ្នាំ 2026 នៅពេលដែលការឆ្លងមេរោគមានប្រភពមកពីអាសយដ្ឋាន IP តែមួយ។
មេរោគដែលបានដាក់ពង្រាយគឺជាប្រព័ន្ធគោលពីរ Linux ELF ដែលដំបូងឡើយគេចវេះការរកឃើញដោយម៉ាស៊ីននីមួយៗនៅលើ VirusTotal។ វាសម្រេចបានការឆ្លងមេរោគដោយការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះចាស់ពីរ៖
- CVE-2013-3307 ប៉ះពាល់ដល់រ៉ោតទ័រ Linksys មួយចំនួន។
- CVE-2016-5681 ប៉ះពាល់ដល់ឧបករណ៍ D-Link ជាក់លាក់។
ប្រព័ន្ធដែលរងការវាយប្រហារភាគច្រើនគឺជាផលិតផល D-Link ដោយម៉ូដែល DIR-850L មានចំនួនប្រហែល 75 ភាគរយនៃការឆ្លងមេរោគ។ តាមភូមិសាស្ត្រ ការឆ្លងមេរោគភាគច្រើនប្រមូលផ្តុំនៅក្នុងប្រទេសកូរ៉េខាងត្បូង (48 ភាគរយ) និងចិន (32 ភាគរយ) បន្ទាប់មកគឺប្រទេសស៊ុយអែត ម៉ាឡេស៊ី និងសិង្ហបុរី។
ការពង្រីកលើសពីរ៉ោតទ័រ
មេរោគប្រភេទទីពីរបានលេចចេញនៅថ្ងៃទី 26 ខែមេសា ឆ្នាំ 2026 ដោយកំណត់គោលដៅលើឧបករណ៍ QNAP NAS តាមរយៈ CVE-2025-11837 ដែលជាចំណុចខ្សោយនៃការចាក់កូដដែលប៉ះពាល់ដល់ឧបករណ៍ប្រើប្រាស់ Malware Remover របស់ QNAP។ ទោះបីជាចំណុចខ្សោយនេះត្រូវបានជួសជុលរួចហើយនៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2025 ក៏ដោយ ក៏អ្នកវាយប្រហារបានចាប់ផ្តើមកេងប្រវ័ញ្ចវាជាច្រើនខែក្រោយមក។
គួរឱ្យហួសចិត្តណាស់ វ៉ិចទ័រនៃការឆ្លងមេរោគនេះគឺជាកម្មវិធីលុបមេរោគរបស់ឧបករណ៍ NAS ផ្ទាល់។ តួលេខដែលបានរាយការណ៍អំពីប្រព័ន្ធចំនួន 4,300 ដែលរងការគំរាមកំហែងរួមបញ្ចូលតែរ៉ោតទ័រ RTL819X ដែលឆ្លងមេរោគប៉ុណ្ណោះ ហើយមិនរាប់បញ្ចូលឧបករណ៍ NAS ដែលរងផលប៉ះពាល់នោះទេ។
មេរោគស្រាលជាមួយនឹងសមត្ថភាពដ៏មានឥទ្ធិពល
កំណែរ៉ោតទ័ររបស់ AryStinger ត្រូវបានសរសេរជាភាសា C ហើយចេតនានៅតែមានទម្ងន់ស្រាលដោយសារតែធនធានមានកំណត់នៃផ្នែករឹងចាស់ៗ។ មុខងារចម្បងរបស់វាគឺការស្កេន DNS ដ៏ធំ និងការរុករកផ្លូវរូងក្រោមដីចរាចរណ៍។
កំណែ NAS ដែលត្រូវបានបង្កើតឡើងនៅក្នុង Go ផ្តល់នូវសមត្ថភាពទូលំទូលាយជាង។ វាអាចស្កេនបណ្តាញទាំងខាងក្នុង និងខាងក្រៅ និងដាក់ពង្រាយឧបករណ៍ឈ្លបយកការណ៍ដូចជា fscan, ksubdomain និង httpx។ លក្ខណៈពិសេសមួយដែលគេស្គាល់ថាជា ScriptWork អនុញ្ញាតឱ្យប្រតិបត្តិករប្រតិបត្តិកូដប្រភព Go, Java ឬ Python ដែលផ្គត់ផ្គង់ដោយអ្នកវាយប្រហារដោយផ្ទាល់នៅលើប្រព័ន្ធដែលឆ្លងមេរោគ ដោយលុបបំបាត់តម្រូវការក្នុងការចងក្រងប្រព័ន្ធគោលពីរដាច់ដោយឡែកសម្រាប់គោលដៅនីមួយៗ។
ការទំនាក់ទំនងរវាងឧបករណ៍ដែលឆ្លងមេរោគ និងម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យ (C2) កើតឡើងតាមរយៈ HTTP និង HTTPS ដោយប្រើចរាចរណ៍ដែលបានអ៊ិនកូដដោយ Protobuf ដែលត្រូវបានបិទបាំងដោយគ្រោងការណ៍ XOR សាមញ្ញ ខណៈពេលដែលវ៉ារ្យ៉ង់ដែលមានមូលដ្ឋានលើ Go បន្ថែមការបង្ហាប់ gzip។ កិច្ចការស្កេនធំៗត្រូវបានបែងចែកជាផ្នែកតូចៗ និងចែកចាយពាសពេញបណ្តាញ botnet ដែលអាចឱ្យមានប្រតិបត្តិការឈ្លបយកការណ៍ស្របគ្នា។
ការតស៊ូ និងសក្តានុពលសម្រាប់ការរំលោភបំពាន
មេរោគនេះរក្សាការចូលប្រើរយៈពេលវែងដោយដាក់ពង្រាយម៉ាស៊ីនមេ Dropbear SSH នៅលើច្រក 2332 សម្រាប់រ៉ោតទ័រ និង gs-netcat នៅលើប្រព័ន្ធ NAS ដែលរងការសម្របសម្រួល។ អ្នកស៊ើបអង្កេតក៏បានកំណត់អត្តសញ្ញាណកូនសោផ្ទៀងផ្ទាត់ដែលបានអ៊ិនកូដរឹងមួយ 'sh_#@!_2024_secret' ដែលការដាក់បញ្ចូល '2024' របស់វាអាចបង្ហាញថាការអភិវឌ្ឍនៃប្រតិបត្តិការបានចាប់ផ្តើមនៅឆ្នាំនោះ ទោះបីជាមិនអាចបញ្ជាក់បានដោយភាពប្រាកដប្រជាក៏ដោយ។
ទោះបីជាការឈ្លបយកការណ៍ហាក់ដូចជាគោលបំណងចម្បងក៏ដោយ សមត្ថភាពស្កេន DNS របស់មេរោគក៏អាចត្រូវបានបញ្ជូនបន្តទៅកាន់ឧបករណ៍ដោះស្រាយ DNS ដើម្បីបង្កើតចរាចរណ៍បដិសេធសេវាកម្មនៅពេលចាំបាច់។
គំរូដែលធ្លាប់ស្គាល់៖ បណ្តាញប្រអប់បញ្ជូនបន្តប្រតិបត្តិការ
ហេដ្ឋារចនាសម្ព័ន្ធដែលបង្កើតឡើងដោយ AryStinger គឺស្រដៀងគ្នាទៅនឹងបណ្តាញ Operational Relay Box (ORB)។ បណ្តាញទាំងនេះមានរ៉ោតទ័រដែលខូច និងឧបករណ៍ IoT ដែលអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងធ្វើប្រតិបត្តិការស្កេន និងបញ្ជូនចរាចរណ៍ព្យាបាទ ខណៈពេលដែលនៅតែពិបាកក្នុងការតាមដាន។
វិធីសាស្រ្តនេះឆ្លុះបញ្ចាំងពីឧប្បត្តិហេតុពីមុន។ នៅក្នុងខែឧសភា ឆ្នាំ២០២៥ FBI និងក្រសួងយុត្តិធម៌សហរដ្ឋអាមេរិកបានរុះរើសេវាកម្ម 5socks និង Anyproxy ដែលបានរកប្រាក់ចំណូលពីការចូលប្រើប្រូកស៊ីលំនៅដ្ឋានដោយការកេងប្រវ័ញ្ចរ៉ោតទ័រ Linksys និង Cisco ហួសសម័យដែលឆ្លងមេរោគ TheMoon។ ថ្មីៗនេះ ប្រតិបត្តិការ ORB ដូចជា LapDogs បានពឹងផ្អែកលើភាពងាយរងគ្រោះដែលមិនទាន់បានជួសជុលនៅក្នុងឧបករណ៍ចាស់ៗ។
បច្ចុប្បន្ននេះ AryStinger មិនទាន់ត្រូវបានសន្មត់ថាជាកត្តាគំរាមកំហែងជាក់លាក់ណាមួយនៅឡើយទេ។ ទោះជាយ៉ាងណាក៏ដោយ គំរូប្រតិបត្តិការគឺមិនអាចច្រឡំបានទេ៖ ផ្នែករឹងហួសសម័យ និងភាពងាយរងគ្រោះដែលត្រូវបានបំភ្លេចចោល កំពុងត្រូវបានបំប្លែងទៅជាហេដ្ឋារចនាសម្ព័ន្ធលួចលាក់ ដែលគាំទ្រដល់ដំណាក់កាលដំបូងនៃការឈ្លានពានតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ។
យុទ្ធសាស្ត្ររកឃើញ និងកាត់បន្ថយ
អង្គការ និងបុគ្គលដែលដំណើរការឧបករណ៍ដែលអាចរងផលប៉ះពាល់គួរតែស៊ើបអង្កេតជាបន្ទាន់សម្រាប់សូចនាករនៃការសម្របសម្រួល និងអនុវត្តវិធានការដោះស្រាយរយៈពេលវែង។
ការការពារដ៏មានប្រសិទ្ធភាពបំផុតនៅតែសាមញ្ញ៖ ចូលនិវត្តន៍ឧបករណ៍បណ្តាញដែលលែងប្រើប្រាស់រួច ដែលលែងទទួលបានការអាប់ដេតកម្មវិធីបង្កប់ និងបិទការគ្រប់គ្រងពីចម្ងាយលើឧបករណ៍ដែលប៉ះពាល់នឹងអ៊ីនធឺណិតនៅពេលណាដែលអាចធ្វើទៅបាន។ ផ្នែករឹងដែលឈប់ទទួលបំណះសុវត្ថិភាពកាលពីប៉ុន្មានឆ្នាំមុនទំនងជាមិនទទួលបានការការពារប្រឆាំងនឹងការគំរាមកំហែងទំនើបៗនោះទេ។