Pangkalan Data Ancaman perisian hasad Perisian Hasad AryStinger

Perisian Hasad AryStinger

Satu keluarga perisian hasad yang baru ditemui, dinamakan AryStinger, sedang mengubah penghala rumah yang terbengkalai menjadi rangkaian peninjauan dan proksi berskala besar dan bukannya botnet penafian perkhidmatan teragih (DDoS) tradisional yang biasanya dikaitkan dengan peranti rangkaian yang diceroboh. Penyelidik keselamatan telah mengenal pasti sekurang-kurangnya 4,300 penghala yang dijangkiti, dan bilangannya dijangka terus meningkat.

Tidak seperti kempen perisian hasad konvensional yang menumpukan pada mengganggu perkhidmatan, AryStinger direka bentuk untuk menyokong peringkat awal pencerobohan siber. Peranti yang dikompromi digunakan untuk mengimbas internet, mengenal pasti perkhidmatan yang sedang berjalan, menyenaraikan subdomain, menyorok trafik rangkaian dan melaksanakan arahan dari jauh sebelum menghantar kembali maklumat yang dikumpul kepada pengendali. Setiap penghala yang dijangkiti berkesan berfungsi sebagai nod peninjau dan geganti tanpa nama yang menyembunyikan asal usul sebenar penyerang.

Menyasarkan Perkakasan yang Semakin Tua dan Kerentanan yang Sudah Lama Dilupakan

Kempen ini terutamanya menyasarkan penghala yang dikuasakan oleh cipset Realtek RTL819X, perkakasan yang digunakan secara meluas antara tahun 2012 dan 2015. Para penyelidik mula-mula memerhatikan perisian hasad tersebut pada 12 Mac 2026, apabila jangkitan berasal daripada satu alamat IP.

Perisian hasad yang digunakan ialah binari ELF Linux yang pada mulanya mengelak pengesanan oleh setiap enjin pada VirusTotal. Ia mencapai jangkitan dengan mengeksploitasi dua kelemahan lama:

  • CVE-2013-3307 yang menjejaskan penghala Linksys tertentu.
  • CVE-2016-5681 memberi kesan kepada peranti D-Link tertentu.

Kebanyakan sistem yang terjejas adalah produk D-Link, dengan model DIR-850L menyumbang kira-kira 75 peratus jangkitan. Secara geografi, jangkitan tertumpu di Korea Selatan (48 peratus) dan China (32 peratus), diikuti oleh Sweden, Malaysia dan Singapura.

Pengembangan Melangkaui Penghala

Varian malware kedua muncul pada 26 April 2026, menyasarkan peranti QNAP NAS melalui CVE-2025-11837, iaitu kerentanan suntikan kod yang menjejaskan utiliti Penghilang Perisian Hasad QNAP. Walaupun kerentanan tersebut telah ditampal pada November 2025, penyerang mula mengeksploitasinya beberapa bulan kemudian.

Ironinya, vektor jangkitan adalah aplikasi penyingkiran malware perkakas NAS itu sendiri. Angka yang dilaporkan sebanyak 4,300 sistem yang dikompromi hanya termasuk penghala RTL819X yang dijangkiti dan tidak mengambil kira peranti NAS yang terjejas.

Perisian Hasad Ringan dengan Keupayaan Berkuasa

Versi penghala AryStinger ditulis dalam C dan sengaja kekal ringan disebabkan oleh sumber perkakasan lama yang terhad. Fungsi utamanya ialah pengimbasan DNS besar-besaran dan penerowongan trafik.

Versi NAS, yang dibangunkan dalam Go, menyediakan keupayaan yang jauh lebih luas. Ia boleh mengimbas rangkaian dalaman dan luaran serta menggunakan utiliti peninjauan seperti fscan, ksubdomain dan httpx. Ciri yang dikenali sebagai ScriptWork membolehkan pengendali melaksanakan kod sumber Go, Java atau Python yang dibekalkan oleh penyerang secara langsung pada sistem yang dijangkiti, sekali gus menghapuskan keperluan untuk mengkompilasi binari berasingan untuk setiap sasaran.

Komunikasi antara peranti yang dijangkiti dan pelayan arahan dan kawalan (C2) berlaku melalui HTTP dan HTTPS menggunakan trafik yang dikodkan Protobuf yang dikaburkan dengan skema XOR yang mudah, manakala varian berasaskan Go menambah pemampatan gzip. Tugas pengimbasan yang besar dibahagikan kepada segmen yang lebih kecil dan diedarkan merentasi botnet, membolehkan operasi peninjauan selari.

Kegigihan dan Potensi Penyalahgunaan

Perisian hasad ini mengekalkan akses jangka panjang dengan menggunakan pelayan SSH Dropbear pada port 2332 untuk penghala dan gs-netcat pada sistem NAS yang diceroboh. Penyiasat juga mengenal pasti kunci pengesahan berkod keras, 'sh_#@!_2024_secret', yang mana penyertaan '2024' mungkin menunjukkan bahawa pembangunan operasi bermula pada tahun itu, walaupun ini tidak dapat disahkan dengan pasti.

Walaupun peninjauan nampaknya menjadi objektif utama, keupayaan pengimbasan DNS perisian hasad juga boleh dialihkan ke arah penyelesai DNS untuk menjana trafik penafian perkhidmatan apabila diperlukan.

Corak Biasa: Rangkaian Kotak Relay Operasi

Infrastruktur yang dicipta oleh AryStinger menyerupai rangkaian Operational Relay Box (ORB). Rangkaian ini terdiri daripada penghala akhir hayat dan peranti IoT yang dikompromi yang membolehkan pelaku ancaman menjalankan operasi pengimbasan dan menyampaikan trafik berniat jahat sambil kekal sukar dikesan.

Pendekatan ini menyerupai insiden sebelumnya. Pada Mei 2025, FBI dan Jabatan Kehakiman AS telah melupuskan perkhidmatan 5socks dan Anyproxy, yang telah menjana wang daripada akses proksi kediaman dengan mengeksploitasi penghala Linksys dan Cisco yang ketinggalan zaman yang dijangkiti perisian hasad TheMoon. Baru-baru ini, operasi ORB seperti LapDogs juga bergantung pada kerentanan yang tidak ditambal dalam peranti yang semakin tua.

Pada masa ini, AryStinger belum dikaitkan secara muktamad dengan mana-mana pelaku ancaman tertentu. Walau bagaimanapun, model operasi tidak dapat disangkal: perkakasan usang dan kelemahan yang dilupakan sedang ditukar menjadi infrastruktur tersembunyi yang menyokong peringkat awal pencerobohan siber yang canggih.

Strategi Pengesanan dan Mitigasi

Organisasi dan individu yang mengendalikan peralatan yang berpotensi terjejas harus segera menyiasat petunjuk gangguan dan melaksanakan langkah pemulihan jangka panjang.

  • Pantau sambungan keluar ke pelayan arahan dan kawalan AryStinger dan domain muat turun.
  • Periksa direktori /tmp/bin untuk binari yang tidak dikenali.
  • Cari proses yang mencurigakan bernama syswapd0h atau syswapd0w.

Pertahanan yang paling berkesan masih mudah: hentikan penggunaan peralatan rangkaian akhir hayat yang tidak lagi menerima kemas kini perisian tegar dan lumpuhkan pentadbiran jauh pada peranti yang terdedah kepada internet apabila mungkin. Perkakasan yang berhenti menerima tampalan keselamatan bertahun-tahun yang lalu tidak mungkin menerima perlindungan daripada ancaman moden.

Memuatkan...