బెదిరింపు డేటాబేస్ మాల్వేర్ ఆర్యస్టింగర్ మాల్వేర్

ఆర్యస్టింగర్ మాల్వేర్

ఆర్యస్టింగర్ అనే కొత్తగా కనుగొనబడిన మాల్వేర్ కుటుంబం, సాధారణంగా హ్యాక్ చేయబడిన నెట్‌వర్కింగ్ పరికరాలతో ముడిపడి ఉండే సాంప్రదాయ డిస్ట్రిబ్యూటెడ్ డినయల్-ఆఫ్-సర్వీస్ (DDoS) బాట్‌నెట్‌ల వలె కాకుండా, పాడుబడిన హోమ్ రౌటర్లను ఒక పెద్ద-స్థాయి నిఘా మరియు ప్రాక్సీ నెట్‌వర్క్‌గా మారుస్తోంది. భద్రతా పరిశోధకులు ఇప్పటికే కనీసం 4,300 సోకిన రౌటర్లను గుర్తించారు, మరియు ఈ సంఖ్య ఇంకా పెరుగుతుందని అంచనా వేయబడింది.

సేవలకు అంతరాయం కలిగించడంపై దృష్టి సారించే సాంప్రదాయ మాల్వేర్ దాడుల వలె కాకుండా, ఆర్యస్టింగర్ సైబర్ చొరబాట్ల ప్రారంభ దశలకు మద్దతు ఇచ్చేలా రూపొందించబడింది. హ్యాక్ చేయబడిన పరికరాలను ఉపయోగించి ఇంటర్నెట్‌ను స్కాన్ చేయడం, నడుస్తున్న సేవలను గుర్తించడం, సబ్‌డొమైన్‌లను లెక్కించడం, నెట్‌వర్క్ ట్రాఫిక్‌ను టన్నెల్ చేయడం, మరియు సేకరించిన సమాచారాన్ని ఆపరేటర్లకు తిరిగి పంపే ముందు రిమోట్‌గా కమాండ్‌లను అమలు చేయడం వంటివి జరుగుతాయి. ఇన్ఫెక్ట్ అయిన ప్రతి రౌటర్ సమర్థవంతంగా ఒక నిఘా నోడ్‌గా మరియు దాడి చేసేవారి నిజమైన మూలాన్ని దాచిపెట్టే ఒక అనామక రిలేగా పనిచేస్తుంది.

పాతబడిన హార్డ్‌వేర్ మరియు చాలా కాలంగా మరచిపోయిన బలహీనతలను లక్ష్యంగా చేసుకోవడం

ఈ దాడి ప్రధానంగా 2012 మరియు 2015 మధ్య విస్తృతంగా ఉపయోగించబడిన రియల్‌టెక్ RTL819X చిప్‌సెట్‌లతో పనిచేసే రౌటర్‌లను లక్ష్యంగా చేసుకుంది. 12 మార్చి 2026న, ఒకే IP చిరునామా నుండి ఇన్ఫెక్షన్‌లు ప్రారంభమైనప్పుడు పరిశోధకులు మొదటిసారిగా ఈ మాల్వేర్‌ను గమనించారు.

ప్రయోగించిన మాల్వేర్ ఒక లినక్స్ ELF బైనరీ, ఇది మొదట్లో వైరస్‌టోటల్‌లోని ప్రతి ఇంజిన్ ద్వారా గుర్తించబడకుండా తప్పించుకుంది. ఇది రెండు పాత బలహీనతలను ఉపయోగించుకోవడం ద్వారా సంక్రమణను సాధించింది:

  • CVE-2013-3307 కొన్ని లింక్‌సిస్ రౌటర్లను ప్రభావితం చేస్తోంది.
  • CVE-2016-5681 నిర్దిష్ట D-Link పరికరాలను ప్రభావితం చేస్తోంది.

హ్యాక్ చేయబడిన సిస్టమ్‌లలో చాలా వరకు డి-లింక్ ఉత్పత్తులే, వీటిలో దాదాపు 75 శాతం ఇన్ఫెక్షన్లకు DIR-850L మోడల్ కారణం. భౌగోళికంగా, ఇన్ఫెక్షన్లు ప్రధానంగా దక్షిణ కొరియా (48 శాతం) మరియు చైనా (32 శాతం)లలో కేంద్రీకృతమై ఉన్నాయి, ఆ తర్వాత స్వీడన్, మలేషియా మరియు సింగపూర్ ఉన్నాయి.

రౌటర్లకు ఆవల విస్తరణ

26 ఏప్రిల్ 2026న, QNAP యొక్క మాల్వేర్ రిమూవర్ యుటిలిటీని ప్రభావితం చేసే CVE-2025-11837 అనే కోడ్ ఇంజెక్షన్ దుర్బలత్వం ద్వారా, QNAP NAS పరికరాలను లక్ష్యంగా చేసుకుని రెండవ మాల్వేర్ వేరియంట్ వెలుగులోకి వచ్చింది. ఈ దుర్బలత్వాన్ని నవంబర్ 2025లోనే సరిచేసినప్పటికీ, దాడి చేసేవారు కొన్ని నెలల తర్వాత దీనిని ఉపయోగించుకోవడం ప్రారంభించారు.

విచిత్రంగా, ఈ ఇన్ఫెక్షన్‌కు కారణం NAS అప్లయెన్స్ యొక్క సొంత మాల్వేర్-రిమూవల్ అప్లికేషనే. నివేదించబడిన 4,300 హ్యాకింగ్‌డ్ సిస్టమ్‌ల సంఖ్యలో ఇన్ఫెక్ట్ అయిన RTL819X రౌటర్లు మాత్రమే ఉన్నాయి మరియు ప్రభావితమైన NAS డివైజ్‌లను ఇది పరిగణనలోకి తీసుకోదు.

శక్తివంతమైన సామర్థ్యాలతో కూడిన తేలికపాటి మాల్వేర్

AryStinger యొక్క రౌటర్ వెర్షన్ C భాషలో వ్రాయబడింది మరియు పాత హార్డ్‌వేర్ యొక్క పరిమిత వనరుల కారణంగా ఉద్దేశపూర్వకంగా తేలికగా ఉంచబడింది. దీని ప్రాథమిక విధులు మాస్ DNS స్కానింగ్ మరియు ట్రాఫిక్ టన్నెలింగ్.

Goలో అభివృద్ధి చేయబడిన NAS వెర్షన్, గణనీయంగా విస్తృతమైన సామర్థ్యాలను అందిస్తుంది. ఇది అంతర్గత మరియు బాహ్య నెట్‌వర్క్‌లను స్కాన్ చేయగలదు మరియు fscan, ksubdomain, మరియు httpx వంటి నిఘా యుటిలిటీలను అమలు చేయగలదు. ScriptWork అని పిలువబడే ఒక ఫీచర్, దాడి చేసేవారు అందించిన Go, Java, లేదా Python సోర్స్ కోడ్‌ను నేరుగా సోకిన సిస్టమ్‌పై అమలు చేయడానికి ఆపరేటర్లను అనుమతిస్తుంది, దీనివల్ల ప్రతి లక్ష్యానికి ప్రత్యేక బైనరీలను కంపైల్ చేయవలసిన అవసరం ఉండదు.

సోకిన పరికరాలు మరియు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌ల మధ్య కమ్యూనికేషన్, ఒక సాధారణ XOR స్కీమ్‌తో అస్పష్టం చేయబడిన ప్రోటోబఫ్-ఎన్‌కోడ్ చేసిన ట్రాఫిక్‌ను ఉపయోగించి HTTP మరియు HTTPS ద్వారా జరుగుతుంది, అయితే Go-ఆధారిత వేరియంట్ gzip కంప్రెషన్‌ను జోడిస్తుంది. పెద్ద స్కానింగ్ పనులు చిన్న విభాగాలుగా విభజించబడి బాట్‌నెట్ అంతటా పంపిణీ చేయబడతాయి, ఇది సమాంతర నిఘా కార్యకలాపాలను సాధ్యం చేస్తుంది.

పట్టుదల మరియు దుర్వినియోగానికి అవకాశం

ఈ మాల్వేర్, రౌటర్ల కోసం పోర్ట్ 2332 పై డ్రాప్‌బేర్ SSH సర్వర్‌ను మరియు హ్యాక్ చేయబడిన NAS సిస్టమ్‌లపై gs-netcat ను మోహరించడం ద్వారా దీర్ఘకాలిక యాక్సెస్‌ను కొనసాగిస్తుంది. పరిశోధకులు 'sh_#@!_2024_secret' అనే హార్డ్‌కోడెడ్ ప్రామాణీకరణ కీని కూడా గుర్తించారు, దీనిలో '2024' ఉండటం వలన ఈ ఆపరేషన్ అభివృద్ధి ఆ సంవత్సరంలోనే ప్రారంభమైందని సూచించవచ్చు, అయినప్పటికీ దీనిని కచ్చితంగా నిర్ధారించలేము.

నిఘా పెట్టడమే ప్రాథమిక లక్ష్యంగా కనిపించినప్పటికీ, అవసరమైనప్పుడు డినయల్-ఆఫ్-సర్వీస్ ట్రాఫిక్‌ను సృష్టించడానికి, ఈ మాల్వేర్ యొక్క DNS స్కానింగ్ సామర్థ్యాలను DNS రిజాల్వర్‌ల వైపు కూడా మళ్లించవచ్చు.

ఒక సుపరిచితమైన నమూనా: కార్యాచరణ రిలే బాక్స్ నెట్‌వర్క్‌లు

ఆర్యస్టింగర్ సృష్టించిన మౌలిక సదుపాయం ఆపరేషనల్ రిలే బాక్స్ (ORB) నెట్‌వర్క్‌లను చాలా దగ్గరగా పోలి ఉంటుంది. ఈ నెట్‌వర్క్‌లు కాలం చెల్లిన, రాజీపడిన రౌటర్లు మరియు IoT పరికరాలను కలిగి ఉంటాయి. ఇవి ముప్పు కలిగించేవారికి స్కానింగ్ కార్యకలాపాలను నిర్వహించడానికి మరియు హానికరమైన ట్రాఫిక్‌ను రిలే చేయడానికి వీలు కల్పిస్తాయి, అదే సమయంలో వారి జాడను గుర్తించడం కూడా కష్టంగా ఉంటుంది.

ఈ విధానం గత సంఘటనలను గుర్తుచేస్తుంది. మే 2025లో, FBI మరియు US న్యాయ శాఖ, TheMoon మాల్వేర్‌తో సోకిన పాత Linksys మరియు Cisco రౌటర్లను దుర్వినియోగం చేసి రెసిడెన్షియల్ ప్రాక్సీ యాక్సెస్ ద్వారా డబ్బు సంపాదించిన 5socks మరియు Anyproxy సేవలను నిలిపివేశాయి. ఇటీవలే, LapDogs వంటి ORB కార్యకలాపాలు కూడా ఇదే విధంగా పాత పరికరాలలో ప్యాచ్ చేయని బలహీనతలపై ఆధారపడ్డాయి.

ప్రస్తుతం, ఆర్యస్టింగర్‌ను ఏ నిర్దిష్ట ముప్పు కారకానికి నిశ్చయంగా ఆపాదించలేదు. అయినప్పటికీ, దాని కార్యాచరణ నమూనా స్పష్టంగా ఉంది: పాతబడిపోయిన హార్డ్‌వేర్ మరియు మరచిపోయిన బలహీనతలను, అధునాతన సైబర్ చొరబాట్ల తొలి దశలకు మద్దతు ఇచ్చే రహస్య మౌలిక సదుపాయాలుగా మారుస్తున్నారు.

గుర్తింపు మరియు ఉపశమన వ్యూహాలు

ప్రభావితమయ్యే అవకాశం ఉన్న పరికరాలను నిర్వహిస్తున్న సంస్థలు మరియు వ్యక్తులు, లోపం యొక్క సూచికల కోసం తక్షణమే దర్యాప్తు చేసి, దీర్ఘకాలిక నివారణ చర్యలను అమలు చేయాలి.

  • AryStinger కమాండ్-అండ్-కంట్రోల్ సర్వర్లు మరియు డౌన్‌లోడ్ డొమైన్‌లకు జరిగే అవుట్‌బౌండ్ కనెక్షన్‌లను పర్యవేక్షించండి.
  • /tmp/bin డైరెక్టరీలో అపరిచిత బైనరీల కోసం తనిఖీ చేయండి.
  • syswapd0h లేదా syswapd0w అనే పేరు గల అనుమానాస్పద ప్రాసెస్‌ల కోసం వెతకండి.
  • అత్యంత ప్రభావవంతమైన రక్షణ చాలా సరళమైనది: ఫర్మ్‌వేర్ అప్‌డేట్‌లను ఇకపై స్వీకరించని, కాలం చెల్లిన నెట్‌వర్కింగ్ పరికరాలను తొలగించడం మరియు సాధ్యమైనప్పుడల్లా ఇంటర్నెట్‌కు బహిర్గతమయ్యే పరికరాలలో రిమోట్ అడ్మినిస్ట్రేషన్‌ను నిలిపివేయడం. సంవత్సరాల క్రితమే సెక్యూరిటీ ప్యాచ్‌లను స్వీకరించడం ఆగిపోయిన హార్డ్‌వేర్‌కు ఆధునిక ముప్పుల నుండి రక్షణ లభించే అవకాశం లేదు.

    లోడ్...