Тхреат Датабасе Малваре Злонамерни софтвер AryStinger

Злонамерни софтвер AryStinger

Новооткривена породица злонамерног софтвера, названа AryStinger, трансформише напуштене кућне рутере у велике извиђачке и прокси мреже уместо традиционалних дистрибуираних ботнета за ускраћивање услуге (DDoS) који се обично повезују са компромитованим мрежним уређајима. Истраживачи безбедности су већ идентификовали најмање 4.300 заражених рутера, а очекује се да ће број наставити да расте.

За разлику од конвенционалних кампања злонамерног софтвера које се фокусирају на ометање услуга, AryStinger је дизајниран да подржи ране фазе сајбер упада. Компромитовани уређаји се користе за скенирање интернета, идентификацију покренутих услуга, набрајање поддомена, тунелирање мрежног саобраћаја и даљинско извршавање команди пре него што се прикупљени подаци пошаљу назад оператерима. Сваки заражени рутер ефикасно служи и као извиђачки чвор и као анонимизујући релеј који прикрива право порекло нападача.

Циљање на застарели хардвер и давно заборављене рањивости

Кампања је првенствено усмерена на рутере које покрећу Realtek RTL819X чипсети, хардвер који је био широко коришћен између 2012. и 2015. године. Истраживачи су први пут приметили злонамерни софтвер 12. марта 2026. године, када су инфекције потекле са једне IP адресе.

Распоређени злонамерни софтвер био је бинарни ELF за Linux који је у почетку избегавао детекцију од стране свих претраживача на VirusTotal-у. Инфекцију је постигао искоришћавањем две старије рањивости:

  • CVE-2013-3307 који утиче на одређене Линксис рутере.
  • CVE-2016-5681 који утиче на одређене D-Link уређаје.

Већина угрожених система су D-Link производи, при чему модел DIR-850L чини приближно 75 процената инфекција. Географски гледано, инфекције су концентрисане у Јужној Кореји (48 процената) и Кини (32 процента), а затим следе Шведска, Малезија и Сингапур.

Проширење изван рутера

Друга варијанта злонамерног софтвера појавила се 26. априла 2026. године, циљајући QNAP NAS уређаје путем CVE-2025-11837, рањивости убризгавања кода која утиче на QNAP-ов услужни програм за уклањање злонамерног софтвера. Иако је рањивост већ била исправљена у новембру 2025. године, нападачи су почели да је користе неколико месеци касније.

Иронично, вектор инфекције је сопствена апликација за уклањање злонамерног софтвера самог NAS уређаја. Пријављена бројка од 4.300 угрожених система укључује само заражене RTL819X рутере и не узима у обзир погођене NAS уређаје.

Лаган злонамерни софтвер са моћним могућностима

Верзија AryStinger-а за рутер је написана у C језику и намерно остаје лагана због ограничених ресурса старијег хардвера. Њене главне функције су масовно DNS скенирање и тунелирање саобраћаја.

NAS верзија, развијена у програмском језику Go, пружа знатно шире могућности. Може да скенира и интерне и екстерне мреже и да примени извиђачке услужне програме као што су fscan, ksubdomain и httpx. Функција позната као ScriptWork омогућава оператерима да директно на зараженом систему извршавају Go, Java или Python изворни код који је обезбедио нападач, елиминишући потребу за компајлирањем одвојених бинарних датотека за сваку мету.

Комуникација између заражених уређаја и сервера за командовање и контролу (C2) одвија се преко HTTP и HTTPS протокола користећи Protobuf-кодирани саобраћај замаскиран једноставном XOR шемом, док варијанта заснована на Go-у додаје gzip компресију. Велики задаци скенирања су подељени на мање сегменте и дистрибуирани по ботнету, омогућавајући паралелне операције извиђања.

Упорност и потенцијал за злоупотребу

Злонамерни софтвер одржава дугорочни приступ постављањем Dropbear SSH сервера на порту 2332 за рутере и gs-netcat на компромитованим NAS системима. Истражитељи су такође идентификовали чврсто кодирани кључ за аутентификацију, „sh_#@!_2024_secret“, чије укључивање „2024“ може указивати на то да је развој операције почео те године, иако се то не може са сигурношћу потврдити.

Иако се чини да је извиђање примарни циљ, могућности скенирања DNS-а злонамерног софтвера могу се преусмерити и ка DNS решавачима како би се генерисао саобраћај ускраћивања услуге када је то потребно.

Познати образац: Мреже оперативних релејних кутија

Инфраструктура коју је креирао AryStinger веома подсећа на мреже оперативних релејних кутија (ORB). Ове мреже се састоје од компромитованих рутера на крају животног века и IoT уређаја који омогућавају актерима претњи да спроводе операције скенирања и преносе злонамерни саобраћај, а да притом остану тешки за праћење.

Овај приступ подсећа на претходне инциденте. У мају 2025. године, ФБИ и Министарство правде САД демонтирали су сервисе 5socks и Anyproxy, који су монетизовали приступ прокси серверима за стамбене објекте искоришћавајући застареле рутере Linksys и Cisco заражене малвером TheMoon. У скорије време, ORB операције попут LapDogs-а су се слично ослањале на неисправљене рањивости у старијим уређајима.

Тренутно, AryStinger није дефинитивно приписан ниједном конкретном актеру претње. Међутим, оперативни модел је несумњив: застарели хардвер и заборављене рањивости се претварају у прикривену инфраструктуру која подржава почетне фазе софистицираних сајбер упада.

Стратегије откривања и ублажавања

Организације и појединци који рукују потенцијално погођеном опремом треба одмах да истраже индикаторе угрожавања и примене дугорочне мере санације.

  • Пратите одлазне везе са AryStinger командним и контролним серверима и доменима за преузимање.
  • Проверите директоријум /tmp/bin за непознате бинарне датотеке.
  • Потражите сумњиве процесе под називом syswapd0h или syswapd0w.

Најефикаснија одбрана остаје једноставна: повући из употребе мрежну опрему која више не добија ажурирања фирмвера и онемогућити даљинско администрирање на уређајима који су изложени интернету кад год је то могуће. Хардвер који је престао да добија безбедносне закрпе пре много година вероватно неће добити заштиту од модерних претњи.

Учитавање...