146/69 (IT) ประจำวันศุกร์ที่ 13 มีนาคม 2569
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ตรวจพบการแพร่กระจายของมัลแวร์ KadNap ที่เข้าควบคุมอุปกรณ์เครือข่ายปลายทาง (Edge Devices) มากกว่า 14,000 เครื่อง โดยส่วนใหญ่เป็นเราเตอร์ ASUS เพื่อนำไปใช้สร้างเครือข่ายบอตเน็ตสำหรับส่งต่อทราฟฟิกอินเทอร์เน็ตที่เป็นอันตราย การโจมตีถูกพบครั้งแรกในเดือนสิงหาคม 2025 โดยพบว่าประเทศสหรัฐอเมริกาเป็นพื้นที่ที่ได้รับผลกระทบมากที่สุด คิดเป็นมากกว่าร้อยละ 60 ของการติดมัลแวร์ทั้งหมด นอกจากนี้ยังพบการติดในหลายประเทศ เช่น ไต้หวัน ฮ่องกง สหราชอาณาจักร บราซิล ฝรั่งเศส อิตาลี และสเปน
มัลแวร์ดังกล่าวใช้เทคนิคซ่อนโครงสร้างการควบคุม (Command-and-Control: C2) ผ่านระบบเครือข่ายแบบ Peer-to-Peer ที่อาศัยโปรโตคอล Kademlia Distributed Hash Table (DHT) ทำให้การตรวจจับทำได้ยาก อุปกรณ์ที่ติดมัลแวร์จะถูกใช้เป็นพร็อกซีเพื่อส่งต่อทราฟฟิกผ่านบริการที่เรียกว่า Doppelganger ซึ่งคาดว่าเป็นเครือข่ายพร็อกซีเวอร์ชันใหม่ของโครงสร้างที่เกี่ยวข้องกับมัลแวร์ TheMoon ก่อนหน้านี้ นักวิจัยพบว่าอุปกรณ์จำนวนมากถูกติดตั้งมัลแวร์ผ่านสคริปต์อันตรายที่ดาวน์โหลดไฟล์ไบนารีแบบ ELF ลงในระบบ และสร้างกลไกการทำงานถาวรผ่าน Scheduled Tasks
หลังจากติดตั้งสำเร็จ มัลแวร์จะรวบรวมข้อมูลของอุปกรณ์ เช่น IP Address ภายนอก และซิงโครไนซ์เวลากับเซิร์ฟเวอร์ NTP สาธารณะ ก่อนจะสร้างค่าแฮชเพื่อเข้าร่วมเครือข่าย Peer-to-Peer จากนั้นอุปกรณ์จะแลกเปลี่ยนข้อมูลแบบเข้ารหัสกับโหนดอื่นและดาวน์โหลดเพย์โหลดเพิ่มเติม เช่น สคริปต์ที่แก้ไขกฎไฟร์วอลล์หรือเปิดช่องทางสื่อสารใหม่ แม้ว่าจะใช้โครงสร้างแบบกระจายศูนย์ แต่การวิเคราะห์พบว่าอุปกรณ์ที่ติดมัลแวร์มักเชื่อมต่อผ่านโหนดตัวกลางสองรายการก่อนเข้าถึงเซิร์ฟเวอร์ C2 เสมอ ซึ่งบ่งชี้ว่าผู้โจมตียังคงควบคุมเครือข่ายได้อย่างต่อเนื่อง ทั้งนี้ บอตเน็ต KadNap ถูกนำไปใช้ในบริการพร็อกซีเพื่อดำเนินกิจกรรมอันตรายหลายรูปแบบ เช่น การโจมตีแบบ Brute-Force และการโจมตีระบบเป้าหมายอย่างเจาะจง ส่งผลให้ IP ที่เกี่ยวข้องกับเครือข่ายนี้ถือเป็นความเสี่ยงต่อองค์กรและผู้ใช้งานอินเทอร์เน็ตในวงกว้าง