มัลแวร์ AryStinger
มัลแวร์ตระกูลใหม่ที่เพิ่งค้นพบชื่อ AryStinger กำลังเปลี่ยนเราเตอร์บ้านที่ถูกทิ้งร้างให้กลายเป็นเครือข่ายสอดแนมและพร็อกซีขนาดใหญ่ แทนที่จะเป็นบอทเน็ตโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) แบบดั้งเดิมที่มักพบในอุปกรณ์เครือข่ายที่ถูกบุกรุก นักวิจัยด้านความปลอดภัยได้ระบุเราเตอร์ที่ติดเชื้อแล้วอย่างน้อย 4,300 เครื่อง และคาดว่าจำนวนจะเพิ่มขึ้นเรื่อย ๆ
แตกต่างจากมัลแวร์ทั่วไปที่มุ่งเน้นการก่อกวนบริการ AryStinger ถูกออกแบบมาเพื่อสนับสนุนการโจมตีทางไซเบอร์ในระยะเริ่มต้น อุปกรณ์ที่ถูกโจมตีจะถูกใช้เพื่อสแกนอินเทอร์เน็ต ระบุบริการที่กำลังทำงานอยู่ ระบุโดเมนย่อย ส่งข้อมูลผ่านอุโมงค์เครือข่าย และเรียกใช้คำสั่งจากระยะไกล ก่อนที่จะส่งข้อมูลที่รวบรวมได้กลับไปยังผู้ดำเนินการ เราเตอร์ที่ติดเชื้อทุกตัวทำหน้าที่เป็นทั้งโหนดสอดแนมและตัวส่งต่อข้อมูลที่ไม่ระบุตัวตน ซึ่งปกปิดแหล่งที่มาที่แท้จริงของผู้โจมตี
สารบัญ
มุ่งเป้าไปที่ฮาร์ดแวร์ที่ล้าสมัยและช่องโหว่ที่ถูกลืมไปนานแล้ว
แคมเปญนี้มุ่งเป้าไปที่เราเตอร์ที่ใช้ชิปเซ็ต Realtek RTL819X เป็นหลัก ซึ่งเป็นฮาร์ดแวร์ที่ใช้กันอย่างแพร่หลายระหว่างปี 2012 ถึง 2015 นักวิจัยตรวจพบมัลแวร์นี้ครั้งแรกเมื่อวันที่ 12 มีนาคม 2026 โดยการติดเชื้อเริ่มต้นจากที่อยู่ IP เดียว
มัลแวร์ที่ถูกปล่อยออกมาเป็นไฟล์ไบนารี Linux ELF ซึ่งในตอนแรกหลบเลี่ยงการตรวจจับของทุกโปรแกรมบน VirusTotal ได้สำเร็จ โดยใช้วิธีโจมตีช่องโหว่เก่าสองช่อง:
- ช่องโหว่ CVE-2013-3307 ส่งผลกระทบต่อเราเตอร์ Linksys บางรุ่น
- ช่องโหว่ CVE-2016-5681 ส่งผลกระทบต่ออุปกรณ์ D-Link บางรุ่น
ระบบที่ได้รับผลกระทบส่วนใหญ่เป็นผลิตภัณฑ์ของ D-Link โดยรุ่น DIR-850L คิดเป็นประมาณ 75 เปอร์เซ็นต์ของการติดเชื้อทั้งหมด ในด้านภูมิศาสตร์ การติดเชื้อกระจุกตัวอยู่ในเกาหลีใต้ (48 เปอร์เซ็นต์) และจีน (32 เปอร์เซ็นต์) ตามด้วยสวีเดน มาเลเซีย และสิงคโปร์
การขยายขอบเขตไปไกลกว่าเราเตอร์
มัลแวร์สายพันธุ์ที่สองปรากฏขึ้นเมื่อวันที่ 26 เมษายน 2569 โดยมุ่งเป้าไปที่อุปกรณ์ QNAP NAS ผ่านช่องโหว่ CVE-2025-11837 ซึ่งเป็นช่องโหว่การแทรกโค้ดที่ส่งผลกระทบต่อยูทิลิตี้ Malware Remover ของ QNAP แม้ว่าช่องโหว่นี้จะได้รับการแก้ไขไปแล้วในเดือนพฤศจิกายน 2568 แต่ผู้โจมตีก็เริ่มใช้ประโยชน์จากช่องโหว่นี้ในอีกหลายเดือนต่อมา
ที่น่าขันคือ ตัวการที่แพร่เชื้อกลับเป็นแอปพลิเคชันกำจัดมัลแวร์ของอุปกรณ์ NAS เอง ตัวเลขที่รายงานว่ามีระบบที่ได้รับผลกระทบ 4,300 ระบบนั้น รวมเฉพาะเราเตอร์ RTL819X ที่ติดเชื้อเท่านั้น และไม่ได้รวมถึงอุปกรณ์ NAS ที่ได้รับผลกระทบด้วย
มัลแวร์ขนาดเล็กแต่ทรงพลัง
เวอร์ชันเราเตอร์ของ AryStinger เขียนด้วยภาษา C และตั้งใจให้มีน้ำหนักเบาเนื่องจากข้อจำกัดด้านทรัพยากรของฮาร์ดแวร์รุ่นเก่า หน้าที่หลักคือการสแกน DNS จำนวนมากและการส่งข้อมูลผ่านอุโมงค์
เวอร์ชัน NAS ที่พัฒนาด้วยภาษา Go นั้นมีขีดความสามารถที่กว้างขวางกว่ามาก สามารถสแกนทั้งเครือข่ายภายในและภายนอก และใช้งานยูทิลิตี้การสอดแนม เช่น fscan, ksubdomain และ httpx ได้ ฟีเจอร์ที่เรียกว่า ScriptWork ช่วยให้ผู้ปฏิบัติงานสามารถเรียกใช้ซอร์สโค้ด Go, Java หรือ Python ที่ผู้โจมตีจัดหามาได้โดยตรงบนระบบที่ติดไวรัส ทำให้ไม่จำเป็นต้องคอมไพล์ไบนารีแยกต่างหากสำหรับแต่ละเป้าหมาย
การสื่อสารระหว่างอุปกรณ์ที่ติดไวรัสและเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) เกิดขึ้นผ่าน HTTP และ HTTPS โดยใช้ข้อมูลที่เข้ารหัสแบบ Protobuf ซึ่งถูกปกปิดด้วยวิธีการ XOR อย่างง่าย ในขณะที่เวอร์ชันที่ใช้ภาษา Go จะเพิ่มการบีบอัดแบบ gzip เข้าไปด้วย งานสแกนขนาดใหญ่จะถูกแบ่งออกเป็นส่วนย่อยๆ และกระจายไปทั่วบอทเน็ต ทำให้สามารถดำเนินการสอดแนมแบบขนานได้
ความต่อเนื่องและศักยภาพในการนำไปใช้ในทางที่ผิด
มัลแวร์นี้รักษาการเข้าถึงในระยะยาวโดยการติดตั้งเซิร์ฟเวอร์ Dropbear SSH บนพอร์ต 2332 สำหรับเราเตอร์ และ gs-netcat บนระบบ NAS ที่ถูกโจมตี นอกจากนี้ ผู้ตรวจสอบยังพบรหัสยืนยันตัวตนแบบฮาร์ดโค้ด 'sh_#@!_2024_secret' ซึ่งการมี '2024' อาจบ่งชี้ว่าการพัฒนามัลแวร์เริ่มขึ้นในปีนั้น แม้ว่าจะไม่สามารถยืนยันได้อย่างแน่นอนก็ตาม
แม้ว่าการสอดแนมดูเหมือนจะเป็นเป้าหมายหลัก แต่ความสามารถในการสแกน DNS ของมัลแวร์ยังสามารถถูกนำไปใช้กับตัวแก้ไข DNS เพื่อสร้างการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service) เมื่อจำเป็นได้อีกด้วย
รูปแบบที่คุ้นเคย: เครือข่ายกล่องรีเลย์ปฏิบัติการ
โครงสร้างพื้นฐานที่สร้างขึ้นโดย AryStinger มีลักษณะคล้ายคลึงกับเครือข่าย Operational Relay Box (ORB) เครือข่ายเหล่านี้ประกอบด้วยเราเตอร์และอุปกรณ์ IoT ที่หมดอายุการใช้งานซึ่งถูกบุกรุก ทำให้ผู้โจมตีสามารถดำเนินการสแกนและส่งต่อทราฟฟิกที่เป็นอันตรายได้โดยยากต่อการติดตาม
วิธีการนี้คล้ายคลึงกับเหตุการณ์ก่อนหน้านี้ ในเดือนพฤษภาคม 2025 FBI และกระทรวงยุติธรรมของสหรัฐฯ ได้ทำลายบริการ 5socks และ Anyproxy ซึ่งสร้างรายได้จากการเข้าถึงพร็อกซีบ้านโดยใช้ประโยชน์จากเราเตอร์ Linksys และ Cisco รุ่นเก่าที่ติดมัลแวร์ TheMoon เมื่อไม่นานมานี้ การปฏิบัติการ ORB เช่น LapDogs ก็อาศัยช่องโหว่ที่ไม่ได้แก้ไขในอุปกรณ์เก่าๆ ในลักษณะเดียวกัน
ในปัจจุบัน ยังไม่มีการระบุอย่างแน่ชัดว่า AryStinger มาจากกลุ่มผู้ก่อภัยคุกคามรายใด แต่รูปแบบการทำงานนั้นชัดเจน: ฮาร์ดแวร์ที่ล้าสมัยและช่องโหว่ที่ถูกลืมถูกนำมาดัดแปลงเป็นโครงสร้างพื้นฐานที่ซ่อนเร้น ซึ่งสนับสนุนขั้นตอนเริ่มต้นของการโจมตีทางไซเบอร์ที่ซับซ้อน
กลยุทธ์การตรวจจับและการลดผลกระทบ
องค์กรและบุคคลที่ใช้งานอุปกรณ์ที่อาจได้รับผลกระทบ ควรตรวจสอบหาสัญญาณบ่งชี้ความเสียหายโดยทันที และดำเนินการแก้ไขในระยะยาว
วิธีการป้องกันที่มีประสิทธิภาพที่สุดยังคงเรียบง่าย นั่นคือ การปลดระวางอุปกรณ์เครือข่ายที่หมดอายุการใช้งานและไม่ได้รับการอัปเดตเฟิร์มแวร์อีกต่อไป และปิดใช้งานการบริหารจัดการระยะไกลบนอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตทุกครั้งที่ทำได้ ฮาร์ดแวร์ที่หยุดรับแพตช์ความปลอดภัยมานานหลายปีแล้ว มีโอกาสน้อยที่จะได้รับการป้องกันจากภัยคุกคามสมัยใหม่