Grėsmių duomenų bazė Kenkėjiška programa AryStinger kenkėjiška programa

AryStinger kenkėjiška programa

Naujai atrasta kenkėjiškų programų šeima, pavadinta „AryStinger“, transformuoja apleistus namų maršrutizatorius į didelio masto žvalgybos ir tarpinio serverio tinklą, o ne į tradicinius paskirstytus paslaugų teikimo trikdymo (DDoS) botnetus, dažniausiai siejamus su pažeistais tinklo įrenginiais. Saugumo tyrėjai jau nustatė mažiausiai 4300 užkrėstų maršrutizatorių ir tikimasi, kad šis skaičius toliau augs.

Skirtingai nuo įprastų kenkėjiškų programų kampanijų, kurių tikslas – sutrikdyti paslaugų teikimą, „AryStinger“ yra sukurta siekiant paremti ankstyvuosius kibernetinių įsilaužimų etapus. Pažeisti įrenginiai naudojami internetui nuskaityti, veikiančioms paslaugoms identifikuoti, subdomenams išvardyti, tinklo srautui tuneliuoti ir nuotoliniu būdu vykdyti komandas, prieš perduodant surinktą informaciją operatoriams. Kiekvienas užkrėstas maršrutizatorius efektyviai atlieka ir žvalgybos mazgo, ir anonimizavimo perdavimo sistemos funkciją, kuri slepia tikrąją užpuoliko kilmę.

Senstančios įrangos ir seniai pamirštų pažeidžiamumų taikymas

Kampanija pirmiausia nukreipta į maršrutizatorius, kuriuose naudojami „Realtek RTL819X“ mikroschemų rinkiniai – techninė įranga, plačiai naudojama 2012–2015 m. Tyrėjai pirmą kartą kenkėjišką programą pastebėjo 2026 m. kovo 12 d., kai užkrėtimas kilo iš vieno IP adreso.

Dislokuota kenkėjiška programa buvo „Linux ELF“ dvejetainis failas, kurio iš pradžių neaptiko jokie „VirusTotal“ varikliai. Jis užkrėtė pasinaudodamas dviem senesniais pažeidžiamumais:

  • CVE-2013-3307, paveikiantis tam tikrus „Linksys“ maršrutizatorius.
  • CVE-2016-5681, paveikiantis konkrečius „D-Link“ įrenginius.

Dauguma užkrėstų sistemų yra „D-Link“ produktai, o DIR-850L modelis sudaro maždaug 75 procentus užkrėtimų. Geografiškai užkrėtimai sutelkti Pietų Korėjoje (48 procentai) ir Kinijoje (32 procentai), po jų seka Švedija, Malaizija ir Singapūras.

Plėtra už maršrutizatorių ribų

Antras kenkėjiškos programos variantas pasirodė 2026 m. balandžio 26 d., nukreiptas prieš QNAP NAS įrenginius per CVE-2025-11837 – kodo įterpimo pažeidžiamumą, veikiantį QNAP kenkėjiškų programų šalinimo įrankį. Nors pažeidžiamumas jau buvo pataisytas 2025 m. lapkritį, užpuolikai pradėjo jį išnaudoti po kelių mėnesių.

Ironiška, bet užkrato vektorius yra paties NAS įrenginio kenkėjiškų programų šalinimo programa. Praneštas 4300 pažeistų sistemų skaičius apima tik užkrėstus RTL819X maršrutizatorius ir neatsižvelgia į paveiktus NAS įrenginius.

Lengva kenkėjiška programa su galingomis galimybėmis

„AryStinger“ maršrutizatoriaus versija parašyta C kalba ir sąmoningai išliko lengva dėl ribotų senesnės įrangos išteklių. Pagrindinės jos funkcijos yra masinis DNS nuskaitymas ir srauto tuneliavimas.

NAS versija, sukurta naudojant „Go“, suteikia žymiai platesnes galimybes. Ji gali nuskaityti tiek vidinius, tiek išorinius tinklus ir diegti žvalgybos programas, tokias kaip „fscan“, „ksubdomain“ ir „httpx“. Funkcija, žinoma kaip „ScriptWork“, leidžia operatoriams vykdyti užpuoliko pateiktą „Go“, „Java“ arba „Python“ šaltinio kodą tiesiai užkrėstoje sistemoje, todėl nereikia kompiliuoti atskirų dvejetainių failų kiekvienam taikiniui.

Ryšys tarp užkrėstų įrenginių ir valdymo (C2) serverių vyksta per HTTP ir HTTPS, naudojant „Protobuf“ užkoduotą srautą, užmaskuotą paprasta XOR schema, o „Go“ pagrindu sukurtame variante pridedamas gzip suspaudimas. Didelės nuskaitymo užduotys yra suskirstytos į mažesnius segmentus ir paskirstomos visame botnete, taip sudarant sąlygas lygiagrečioms žvalgybos operacijoms.

Patvarumas ir piktnaudžiavimo potencialas

Kenkėjiška programa palaiko ilgalaikę prieigą, maršrutizatoriams ir „gs-netcat“ naudojant 2332 prievadą, skirtą „Dropbear“ SSH serveriui, esančiam pažeistose NAS sistemose. Tyrėjai taip pat nustatė užkoduotą autentifikavimo raktą „sh_#@!_2024_secret“, kuriame esanti „2024“ gali rodyti, kad operacijos kūrimas prasidėjo tais metais, nors to negalima tvirtai patvirtinti.

Nors pagrindinis tikslas, regis, yra žvalgyba, kenkėjiškos programos DNS nuskaitymo galimybės taip pat gali būti nukreiptos į DNS sprendiklius, kad prireikus būtų generuojamas aptarnavimo trikdymo srautas.

Pažįstamas modelis: veikiantys relių dėžių tinklai

„AryStinger“ sukurta infrastruktūra labai panaši į operacinių relių dėžių (ORB) tinklus. Šiuos tinklus sudaro pažeisti nebenaudojami maršrutizatoriai ir daiktų interneto įrenginiai, leidžiantys grėsmių kūrėjams atlikti nuskaitymo operacijas ir perduoti kenkėjišką srautą, tuo pačiu metu juos sunku atsekti.

Šis metodas atkartoja ankstesnius incidentus. 2025 m. gegužę FTB ir JAV Teisingumo departamentas panaikino „5socks“ ir „Anyproxy“ paslaugas, kurios pelnėsi iš gyvenamųjų namų tarpinio serverio prieigos išnaudodamos pasenusius „Linksys“ ir „Cisco“ maršrutizatorius, užkrėstus „TheMoon“ kenkėjiška programa. Visai neseniai ORB operacijos, tokios kaip „LapDogs“, panašiai rėmėsi netaisytomis senstančių įrenginių pažeidžiamybėmis.

Šiuo metu „AryStinger“ nėra galutinai priskirta jokiam konkrečiam grėsmės vykdytojui. Tačiau veikimo modelis yra neabejotinas: pasenusi įranga ir pamiršti pažeidžiamumai paverčiami slapta infrastruktūra, kuri palaiko pradinius sudėtingų kibernetinių įsilaužimų etapus.

Aptikimo ir mažinimo strategijos

Organizacijos ir asmenys, valdantys potencialiai pažeistą įrangą, turėtų nedelsdami ištirti, ar nėra pažeidimo požymių, ir įgyvendinti ilgalaikes taisomąsias priemones.

  • Stebėti išeinančius ryšius su „AryStinger“ komandų ir valdymo serveriais bei atsisiuntimo domenais.
  • Patikrinkite katalogą /tmp/bin, ar nėra nepažįstamų dvejetainių failų.
  • Ieškokite įtartinų procesų, pavadintų syswapd0h arba syswapd0w.

Veiksmingiausia gynyba išlieka paprasta: išmontuoti nebenaudojamą tinklo įrangą, kuri nebegauna programinės įrangos atnaujinimų, ir, kai tik įmanoma, išjungti nuotolinį administravimą įrenginiuose, kurie yra veikiami interneto. Aparatūra, kuri prieš daugelį metų nustojo gauti saugos pataisymus, greičiausiai nebus apsaugota nuo šiuolaikinių grėsmių.

Įkeliama...