250/69 (IT) ประจำวันศุกร์ที่ 8 พฤษภาคม 2569
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Hunt.io เปิดเผยการค้นพบบอตเน็ตที่พัฒนามาจาก Mirai ซึ่งใช้ชื่อว่า xlabs_v1 โดยมุ่งโจมตีอุปกรณ์ที่เปิดบริการ Android Debug Bridge (ADB) ไว้บนพอร์ต TCP 5555 โดยเฉพาะ Android TV Box, Smart TV, Set-top Box รวมถึงเราเตอร์ในบ้านและอุปกรณ์ IoT ที่รองรับสถาปัตยกรรม ARM, MIPS และ x86-64 โดยบอตเน็ตนี้ถูกออกแบบมาเพื่อใช้เป็นเครื่องมือรับจ้างโจมตีแบบ DDoS โดยเป้าหมายหลักคือเซิร์ฟเวอร์เกมและโฮสต์ Minecraft โดยสามารถรองรับรูปแบบการโจมตีได้ถึง 21 แบบ ครอบคลุมทั้ง TCP, UDP และ Raw Protocols รวมถึงเทคนิคการปลอม Traffic เป็น RakNet และ OpenVPN เพื่อเลี่ยงระบบป้องกัน DDoS ระดับผู้ใช้งานทั่วไป
จุดเด่นที่ทำให้ xlabs_v1 แตกต่างคือระบบวัดระดับแบนด์วิดท์ของอุปกรณ์ที่ถูกยึด โดยจะเปิดซ็อกเก็ต TCP ขนาน 8,192 ช่องเชื่อมต่อไปยังเซิร์ฟเวอร์ Speedtest ที่ใกล้ที่สุด ก่อนส่งข้อมูลความเร็วกลับไปยังแผงควบคุมเพื่อจัดระดับราคาให้กับลูกค้า โดยบอตเน็ตนี้ไม่มีกลไกการคงอยู่ (No persistence) ทำให้ผู้ควบคุมต้องรีบเข้ายึดอุปกรณ์เดิมซ้ำผ่านช่องโหว่ ADB ทุกครั้งหลังวัดค่าแบนด์วิดท์เสร็จ นอกจากนี้ยังมีระบบ killer subsystem สำหรับปิดการทำงานของมัลแวร์คู่แข่ง เพื่อแย่งชิงทรัพยากรอินเทอร์เน็ตทั้งหมดของเหยื่อมาใช้ในการโจมตี โดยผู้พัฒนาใช้ชื่อแฝงว่า Tadashi ซึ่งปรากฏเป็นสตริงที่เข้ารหัสด้วย ChaCha20 ฝังอยู่ในทุกชุดคำสั่งของบอตเน็ต
Hunt.io ประเมินว่า xlabs_v1 จัดอยู่ในระดับกลางเมื่อเทียบกับเครือข่าย DDoS-for-hire เชิงพาณิชย์รายใหญ่ มีความซับซ้อนมากกว่ามัลแวร์ Mirai ทั่วไปแต่ยังไม่เทียบชั้นกับกลุ่มอาชญากรไซเบอร์ระดับสูง โดยผู้พัฒนาแข่งขันด้วยราคาและความหลากหลายของการโจมตี เน้นเป้าหมายเป็นอุปกรณ์ IoT ผู้บริโภค เราเตอร์ในบ้าน และผู้ให้บริการเซิร์ฟเวอร์เกมรายเล็ก ขณะที่ Darktrace ยังรายงานเพิ่มเติมว่าพบกลุ่มผู้ไม่หวังดีใช้ Jenkins Server ที่ตั้งค่าผิดพลาดในการติดตั้งบอตเน็ตลักษณะเดียวกัน สะท้อนว่าอุตสาหกรรมเกมยังคงเป็นเป้าหมายหลักของการโจมตีทางไซเบอร์ ผู้ดูแลระบบควรปิดบริการ ADB ที่ไม่จำเป็นและตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์ IoT อย่างสม่ำเสมอ
แหล่งข่าว https://thehackernews.com/2026/05/mirai-based-xlabsv1-botnet-exploits-adb.html