Arystinger मालवेयर
AryStinger नामक नयाँ पत्ता लागेको मालवेयर परिवारले परम्परागत वितरित अस्वीकार-सेवा (DDoS) बोटनेटहरू भन्दा परित्याग गरिएका घर राउटरहरूलाई ठूलो मात्रामा जासूसी र प्रोक्सी नेटवर्कमा रूपान्तरण गर्दैछ जुन सामान्यतया सम्झौता गरिएका नेटवर्किङ उपकरणहरूसँग सम्बन्धित छन्। सुरक्षा अनुसन्धानकर्ताहरूले पहिले नै कम्तिमा ४,३०० संक्रमित राउटरहरू पहिचान गरिसकेका छन्, र यो संख्या बढ्दै जाने अपेक्षा गरिएको छ।
सेवाहरूमा बाधा पुर्याउने परम्परागत मालवेयर अभियानहरू भन्दा फरक, AryStinger साइबर घुसपैठको प्रारम्भिक चरणहरूलाई समर्थन गर्न डिजाइन गरिएको हो। सम्झौता गरिएका उपकरणहरू इन्टरनेट स्क्यान गर्न, चलिरहेको सेवाहरू पहिचान गर्न, सबडोमेनहरू गणना गर्न, टनेल नेटवर्क ट्राफिक गर्न, र संकलित जानकारी अपरेटरहरूलाई फिर्ता पठाउनु अघि टाढाबाट आदेशहरू कार्यान्वयन गर्न प्रयोग गरिन्छ। प्रत्येक संक्रमित राउटरले प्रभावकारी रूपमा एक जासूसी नोड र आक्रमणकारीको वास्तविक उत्पत्ति लुकाउने एक गुमनाम रिले दुवैको रूपमा काम गर्दछ।
सामग्रीको तालिका
बुढ्यौली हार्डवेयर र लामो समयदेखि बिर्सिएका जोखिमहरूलाई लक्षित गर्दै
यो अभियानले मुख्यतया Realtek RTL819X चिपसेटद्वारा संचालित राउटरहरूलाई लक्षित गर्दछ, जुन हार्डवेयर २०१२ र २०१५ को बीचमा व्यापक रूपमा प्रयोग गरिएको थियो। अनुसन्धानकर्ताहरूले पहिलो पटक १२ मार्च २०२६ मा मालवेयर अवलोकन गरे, जब संक्रमण एउटै IP ठेगानाबाट उत्पन्न भएको थियो।
तैनाथ गरिएको मालवेयर एक Linux ELF बाइनरी थियो जुन सुरुमा VirusTotal मा प्रत्येक इन्जिनले पत्ता लगाउनबाट बच्यो। यसले दुई पुराना कमजोरीहरूको शोषण गरेर संक्रमण हासिल गर्यो:
- CVE-2013-3307 ले निश्चित Linksys राउटरहरूलाई असर गर्छ।
- विशिष्ट D-Link उपकरणहरूलाई असर गर्ने CVE-2016-5681।
धेरैजसो सम्झौता गरिएका प्रणालीहरू D-Link उत्पादनहरू हुन्, जसमा DIR-850L मोडेलले लगभग ७५ प्रतिशत संक्रमणको लागि जिम्मेवार छ। भौगोलिक रूपमा, संक्रमण दक्षिण कोरिया (४८ प्रतिशत) र चीन (३२ प्रतिशत) मा केन्द्रित छ, त्यसपछि स्वीडेन, मलेसिया र सिंगापुर छन्।
राउटरभन्दा बाहिरको विस्तार
२६ अप्रिल २०२६ मा दोस्रो मालवेयर संस्करण देखा पर्यो, जसले QNAP NAS उपकरणहरूलाई CVE-2025-11837 मार्फत लक्षित गर्यो, जुन QNAP को मालवेयर रिमूभर उपयोगितालाई असर गर्ने कोड इन्जेक्सन जोखिम थियो। यद्यपि नोभेम्बर २०२५ मा जोखिम पहिले नै प्याच गरिएको थियो, आक्रमणकारीहरूले धेरै महिना पछि यसको शोषण गर्न थाले।
विडम्बनाको कुरा के छ भने, संक्रमण भेक्टर NAS उपकरणको आफ्नै मालवेयर-हटाउने अनुप्रयोग हो। ४,३०० सम्झौता गरिएका प्रणालीहरूको रिपोर्ट गरिएको तथ्याङ्कमा संक्रमित RTL819X राउटरहरू मात्र समावेश छन् र प्रभावित NAS उपकरणहरूको हिसाब छैन।
शक्तिशाली क्षमताहरू भएको हल्का मालवेयर
AryStinger को राउटर संस्करण C मा लेखिएको छ र पुरानो हार्डवेयरको सीमित स्रोतहरूको कारणले जानाजानी हलुका रहन्छ। यसको प्राथमिक कार्यहरू मास DNS स्क्यानिङ र ट्राफिक टनेलिङ हुन्।
गोमा विकसित NAS संस्करणले उल्लेखनीय रूपमा फराकिलो क्षमताहरू प्रदान गर्दछ। यसले आन्तरिक र बाह्य दुवै नेटवर्कहरू स्क्यान गर्न सक्छ र fscan, ksubdomain, र httpx जस्ता जासूसी उपयोगिताहरू तैनाथ गर्न सक्छ। ScriptWork भनेर चिनिने सुविधाले अपरेटरहरूलाई आक्रमणकारी-आपूर्ति गरिएको गो, जाभा, वा पाइथन स्रोत कोडलाई संक्रमित प्रणालीमा सिधै कार्यान्वयन गर्न अनुमति दिन्छ, प्रत्येक लक्ष्यको लागि छुट्टै बाइनरीहरू संकलन गर्ने आवश्यकतालाई हटाउँछ।
संक्रमित उपकरणहरू र कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरू बीचको सञ्चार HTTP र HTTPS मार्फत प्रोटोबफ-इन्कोडेड ट्राफिक प्रयोग गरेर हुन्छ जुन साधारण XOR योजनाको साथ अस्पष्ट हुन्छ, जबकि गो-आधारित भेरियन्टले gzip कम्प्रेसन थप्छ। ठूला स्क्यानिङ कार्यहरूलाई साना खण्डहरूमा विभाजित गरिन्छ र बोटनेटमा वितरित गरिन्छ, जसले समानान्तर पुनर्जागरण कार्यहरू सक्षम गर्दछ।
निरन्तरता र दुर्व्यवहारको सम्भावना
मालवेयरले सम्झौता गरिएका NAS प्रणालीहरूमा राउटरहरू र gs-netcat को लागि पोर्ट २३३२ मा Dropbear SSH सर्भर तैनाथ गरेर दीर्घकालीन पहुँच कायम राख्छ। अनुसन्धानकर्ताहरूले हार्डकोड गरिएको प्रमाणीकरण कुञ्जी, 'sh_#@!_2024_secret' पनि पहिचान गरे, जसको '२०२४' समावेशले त्यो वर्ष सञ्चालनको विकास सुरु भएको संकेत गर्न सक्छ, यद्यपि यो निश्चित रूपमा पुष्टि गर्न सकिँदैन।
यद्यपि जासूसी प्राथमिक उद्देश्य जस्तो देखिन्छ, मालवेयरको DNS स्क्यानिङ क्षमताहरूलाई आवश्यक पर्दा सेवा अस्वीकार ट्राफिक उत्पन्न गर्न DNS रिजल्भरहरू तर्फ पनि पुन: निर्देशित गर्न सकिन्छ।
एउटा परिचित ढाँचा: सञ्चालन रिले बक्स नेटवर्कहरू
AryStinger द्वारा सिर्जना गरिएको पूर्वाधार अपरेशनल रिले बक्स (ORB) नेटवर्कहरूसँग मिल्दोजुल्दो छ। यी नेटवर्कहरूमा सम्झौता गरिएका अन्त्य-जीवन राउटरहरू र IoT उपकरणहरू हुन्छन् जसले खतरा अभिनेताहरूलाई स्क्यानिङ अपरेशनहरू सञ्चालन गर्न र ट्रेस गर्न गाह्रो हुँदा दुर्भावनापूर्ण ट्राफिक रिले गर्न सक्षम बनाउँछ।
यो दृष्टिकोणले अघिल्ला घटनाहरूको प्रतिध्वनि गर्छ। मे २०२५ मा, FBI र अमेरिकी न्याय विभागले 5socks र Anyproxy सेवाहरू भत्कायो, जसले TheMoon मालवेयरबाट संक्रमित पुरानो Linksys र Cisco राउटरहरूको शोषण गरेर आवासीय प्रोक्सी पहुँचलाई मुद्रीकरण गरेका थिए। हालसालै, LapDogs जस्ता ORB अपरेसनहरूले पनि पुरानो उपकरणहरूमा अनप्याच गरिएको कमजोरीहरूमा त्यस्तै भर परेका छन्।
हाल, आर्यस्टिंगरलाई कुनै पनि विशेष खतरा अभिनेताको रूपमा निर्णायक रूपमा जिम्मेवार ठहराइएको छैन। यद्यपि, सञ्चालन मोडेल स्पष्ट छ: पुरानो हार्डवेयर र बिर्सिएका कमजोरीहरूलाई परिष्कृत साइबर घुसपैठको प्रारम्भिक चरणहरूलाई समर्थन गर्ने गोप्य पूर्वाधारमा रूपान्तरण गरिँदैछ।
पत्ता लगाउने र न्यूनीकरण रणनीतिहरू
सम्भावित रूपमा प्रभावित उपकरणहरू सञ्चालन गर्ने संस्था र व्यक्तिहरूले सम्झौताका सूचकहरूको लागि तुरुन्तै अनुसन्धान गर्नुपर्छ र दीर्घकालीन उपचार उपायहरू लागू गर्नुपर्छ।
- AryStinger कमाण्ड-एन्ड-कन्ट्रोल सर्भरहरू र डाउनलोड डोमेनहरूमा आउटबाउन्ड जडानहरूको लागि निगरानी गर्नुहोस्।
- अपरिचित बाइनरीहरूको लागि /tmp/bin निर्देशिका निरीक्षण गर्नुहोस्।
- syswapd0h वा syswapd0w नामक शंकास्पद प्रक्रियाहरू खोज्नुहोस्।
सबैभन्दा प्रभावकारी प्रतिरक्षा सीधा रहन्छ: फर्मवेयर अपडेटहरू प्राप्त नगर्ने अन्तिम-जीवन नेटवर्किङ उपकरणहरू बन्द गर्ने र सम्भव भएसम्म इन्टरनेट-एक्सपोजर उपकरणहरूमा रिमोट प्रशासन असक्षम पार्ने। वर्षौं अघि सुरक्षा प्याचहरू प्राप्त गर्न बन्द गरेको हार्डवेयरले आधुनिक खतराहरू विरुद्ध सुरक्षा प्राप्त गर्ने सम्भावना कम छ।