Banta sa Database Malware AryStinger Malware

AryStinger Malware

Isang bagong tuklas na pamilya ng malware, na nagngangalang AryStinger, ang nagbabago sa mga inabandunang router sa bahay tungo sa isang malawakang reconnaissance at proxy network sa halip na ang tradisyonal na distributed denial-of-service (DDoS) botnet na karaniwang iniuugnay sa mga nakompromisong networking device. Natukoy na ng mga mananaliksik sa seguridad ang hindi bababa sa 4,300 na nahawaang router, at inaasahang patuloy na tataas ang bilang na ito.

Hindi tulad ng mga kumbensyonal na kampanya ng malware na nakatuon sa paggambala sa mga serbisyo, ang AryStinger ay idinisenyo upang suportahan ang mga unang yugto ng mga panghihimasok sa cyber. Ang mga nakompromisong device ay ginagamit upang i-scan ang internet, tukuyin ang mga tumatakbong serbisyo, bilangin ang mga subdomain, i-tunnel ang trapiko sa network, at isagawa ang mga utos nang malayuan bago ipadala ang nakolektang impormasyon pabalik sa mga operator. Ang bawat nahawaang router ay epektibong nagsisilbing parehong reconnaissance node at isang anonymizing relay na nagtatago ng tunay na pinagmulan ng umaatake.

Pag-target sa Lumang Hardware at Matagal Nang Nakalimutang mga Kahinaan

Pangunahing tinatarget ng kampanya ang mga router na pinapagana ng Realtek RTL819X chipsets, mga hardware na malawakang ginamit sa pagitan ng 2012 at 2015. Unang naobserbahan ng mga mananaliksik ang malware noong ika-12 ng Marso 2026, nang ang mga impeksyon ay nagmula sa iisang IP address.

Ang malware na ipinakalat ay isang Linux ELF binary na sa una ay hindi natukoy ng bawat engine sa VirusTotal. Nakamit nito ang impeksyon sa pamamagitan ng paggamit ng dalawang mas lumang kahinaan:

  • Ang CVE-2013-3307 ay nakakaapekto sa ilang partikular na Linksys router.
  • Ang CVE-2016-5681 ay nakakaapekto sa mga partikular na D-Link device.

Karamihan sa mga nakompromisong sistema ay mga produkto ng D-Link, kung saan ang modelong DIR-850L ay bumubuo sa humigit-kumulang 75 porsyento ng mga impeksyon. Sa heograpiya, ang mga impeksyon ay konsentrado sa South Korea (48 porsyento) at China (32 porsyento), na sinusundan ng Sweden, Malaysia, at Singapore.

Pagpapalawak Higit Pa sa mga Router

Lumitaw ang pangalawang variant ng malware noong Abril 26, 2026, na tumatarget sa mga QNAP NAS device sa pamamagitan ng CVE-2025-11837, isang kahinaan sa pag-inject ng code na nakakaapekto sa Malware Remover utility ng QNAP. Bagama't naayos na ang kahinaan noong Nobyembre 2025, sinimulan itong samantalahin ng mga umaatake pagkalipas ng ilang buwan.

Ironiko na ang vector ng impeksyon ay ang sariling aplikasyon sa pag-alis ng malware ng NAS appliance. Ang naiulat na bilang na 4,300 na nakompromisong sistema ay kinabibilangan lamang ng mga nahawaang RTL819X router at hindi isinasaalang-alang ang mga apektadong NAS device.

Magaang Malware na may Malakas na Kakayahan

Ang bersyon ng router ng AryStinger ay nakasulat sa C at sadyang nananatiling magaan dahil sa limitadong mapagkukunan ng mga lumang hardware. Ang mga pangunahing tungkulin nito ay ang mass DNS scanning at traffic tunneling.

Ang bersyon ng NAS, na binuo sa Go, ay nagbibigay ng mas malawak na kakayahan. Maaari nitong i-scan ang parehong panloob at panlabas na mga network at mag-deploy ng mga reconnaissance utility tulad ng fscan, ksubdomain, at httpx. Ang isang tampok na kilala bilang ScriptWork ay nagbibigay-daan sa mga operator na isagawa ang source code na Go, Java, o Python na ibinigay ng attacker nang direkta sa nahawaang sistema, na inaalis ang pangangailangang mag-compile ng magkakahiwalay na binary para sa bawat target.

Ang komunikasyon sa pagitan ng mga nahawaang device at command-and-control (C2) server ay nangyayari sa pamamagitan ng HTTP at HTTPS gamit ang Protobuf-encoded traffic na pinalalabo gamit ang isang simpleng XOR scheme, habang ang Go-based variant ay nagdaragdag ng gzip compression. Ang malalaking gawain sa pag-scan ay nahahati sa mas maliliit na segment at ipinamamahagi sa buong botnet, na nagbibigay-daan sa mga parallel reconnaissance operation.

Pagtitiyaga at Potensyal para sa Pang-aabuso

Pinapanatili ng malware ang pangmatagalang access sa pamamagitan ng pag-deploy ng Dropbear SSH server sa port 2332 para sa mga router at gs-netcat sa mga nakompromisong NAS system. Natukoy din ng mga imbestigador ang isang hardcoded authentication key, ang 'sh_#@!_2024_secret', na ang pagsasama ng '2024' ay maaaring magpahiwatig na ang pag-unlad ng operasyon ay nagsimula noong taong iyon, bagama't hindi ito makumpirma nang may katiyakan.

Bagama't tila pangunahing layunin ang pagmamanman, ang mga kakayahan ng malware sa pag-scan ng DNS ay maaari ring i-redirect patungo sa mga DNS resolver upang makabuo ng trapiko ng denial-of-service kung kinakailangan.

Isang Pamilyar na Padron: Mga Network ng Operational Relay Box

Ang imprastrakturang nilikha ng AryStinger ay halos kapareho ng mga Operational Relay Box (ORB) network. Ang mga network na ito ay binubuo ng mga nakompromisong end-of-life router at IoT device na nagbibigay-daan sa mga threat actor na magsagawa ng mga operasyon sa pag-scan at mag-relay ng malisyosong trapiko habang nananatiling mahirap masubaybayan.

Ang pamamaraang ito ay katulad ng mga nakaraang insidente. Noong Mayo 2025, binuwag ng FBI at ng US Department of Justice ang mga serbisyo ng 5socks at Anyproxy, na pinagkakakitaan ang access sa residential proxy sa pamamagitan ng pagsasamantala sa mga lumang Linksys at Cisco router na nahawaan ng TheMoon malware. Kamakailan lamang, ang mga operasyon ng ORB tulad ng LapDogs ay umaasa rin sa mga hindi naayos na kahinaan sa mga lumang device.

Sa kasalukuyan, ang AryStinger ay hindi pa tiyak na maiuugnay sa sinumang partikular na aktor ng banta. Gayunpaman, ang modelo ng operasyon ay hindi mapagkakamalan: ang mga lipas na hardware at nakalimutang mga kahinaan ay ginagawang palihim na imprastraktura na sumusuporta sa mga unang yugto ng sopistikadong panghihimasok sa cyber.

Mga Istratehiya sa Pagtuklas at Pagpapagaan

Ang mga organisasyon at indibidwal na nagpapatakbo ng mga kagamitang maaaring maapektuhan ay dapat agad na mag-imbestiga para sa mga indikasyon ng pagkakompromiso at magpatupad ng mga pangmatagalang hakbang sa remediasyon.

  • Subaybayan ang mga papalabas na koneksyon sa mga command-and-control server at download domain ng AryStinger.
  • Suriin ang direktoryo ng /tmp/bin para sa mga hindi pamilyar na binary.
  • Maghanap ng mga kahina-hinalang proseso na pinangalanang syswapd0h o syswapd0w.

Ang pinakamabisang depensa ay nananatiling diretso: itigil ang mga kagamitan sa networking na end-of-life na hindi na tumatanggap ng mga update sa firmware at i-disable ang remote administration sa mga device na nakalantad sa internet hangga't maaari. Ang hardware na tumigil sa pagtanggap ng mga security patch ilang taon na ang nakalilipas ay malamang na hindi makatanggap ng proteksyon laban sa mga modernong banta.

Naglo-load...