พบมัลแวร์เครือข่ายบอตเน็ต AryStinger ยึดเราเตอร์ D-Link รุ่นเก่ากว่า 4,000 เครื่อง เพื่อใช้เป็นฐานปฏิบัติการโจมตีทางไซเบอร์

พบมัลแวร์เครือข่ายบอตเน็ต AryStinger ยึดเราเตอร์ D-Link รุ่นเก่ากว่า 4,000 เครื่อง เพื่อใช้เป็นฐานปฏิบัติการโจมตีทางไซเบอร์
ข่าวสารภัยคุกคามทางไซเบอร์
ยอดเข้าชม: 30 views

337/69 (IT) ประจำวันอังคารที่ 23 มิถุนายน 2569

ทีมนักวิจัยด้านภัยคุกคามทางไซเบอร์ XLab ตรวจพบเครือข่ายบอตเน็ตใหม่ในชื่อ AryStinger ซึ่งได้เข้าควบคุมเราเตอร์ที่ตกรุ่นไปแล้วกว่า 4,000 เครื่องทั่วโลก โดยมัลแวร์ดังกล่าวจะเปลี่ยนอุปกรณ์ที่ถูกเข้าควบคุมให้กลายเป็นฐานปฏิบัติการที่ผู้โจมตีสามารถควบคุมจากระยะไกลได้ เหตุการณ์นี้นับเป็นภัยคุกคามสำคัญเนื่องจากผู้โจมตีสามารถใช้เครือข่ายอุปกรณ์เหล่านี้เป็นเครื่องมือในการทำกิจกรรมที่เป็นอัตราย เช่น ทำการสแกนเครือข่ายวงกว้าง การทำ Proxy การลักลอบดักจับข้อมูลจราจรคอมพิวเตอร์ การรันคำสั่งบนระบบ รวมถึงการดัดแปลงการตั้งค่า DNS เพื่อเปลี่ยนเส้นทางการเข้าชมเว็บไซต์ของผู้ใช้งานโดยที่เจ้าของอุปกรณ์ไม่ทราบสาเหตุ

จากการวิเคราะห์พบว่า AryStinger อาศัยช่องโหว่ด้านความปลอดภัยเก่า ของอุปกรณ์ที่สิ้นสุดการสนับสนุนแล้ว (End-of-Life) ที่ยังไม่ได้รับการแก้ไข ได้แก่ CVE-2013-3307, CVE-2016-5681 และ CVE-2025-11837 ในการเข้าควบคุมเราเตอร์ D-Link รุ่น DIR-850L และ DIR-818LW เป็นหลัก นอกจากนี้มัลแวร์ยังถูกพัฒนาออกเป็นสองสายพันธุ์ คือสายพันธุ์ภาษา C สำหรับโจมตีเราเตอร์ และสายพันธุ์ภาษา Go ที่พุ่งเป้าไปยังอุปกรณ์จัดเก็บข้อมูลเครือข่าย (NAS) ซึ่งมีความสามารถขั้นสูงในการสแกน IP และประมวลผลคำสั่งระบบ ข้อมูลจากบันทึกการทำงานของระบบและหลักฐานเฝ้าระวังภัยคุกคามระบุว่า มัลแวร์เวอร์ชันล่าสุด (V2.0.28) มีการสั่งการให้อุปกรณ์ที่ตกเป็นเหยื่อเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมเพื่อดึงข้อมูลอัปเดตและดำเนินการสแกนเป้าหมายผ่านโปรโตคอล HTTP อย่างต่อเนื่องมาตั้งแต่ช่วงกลางเดือนมีนาคม 2569 โดยพบอัตราการติดเชื้อสูงสุดในประเทศเกาหลีใต้และจีน

เบื้องต้นผู้เชี่ยวชาญยังอยู่ระหว่างการตรวจสอบเพื่อระบุกลุ่มผู้ที่อยู่เบื้องหลังการโจมตีดังกล่าว อย่างไรก็ตามเพื่อเป็นการลดความเสี่ยง ผู้ใช้งานและผู้ดูแลระบบที่ใช้อุปกรณ์เราเตอร์หรือเครื่องเซิร์ฟเวอร์ NAS ที่สิ้นสุดระยะเวลาการสนับสนุน (End-of-Life) ควรพิจารณาเปลี่ยนไปใช้อุปกรณ์รุ่นใหม่ ที่ยังได้รับการดูแลด้านความปลอดภัย สำหรับอุปกรณ์ที่ยังรองรับการใช้งาน ควรเร่งดำเนินการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดทันที นอกจากนี้ควรเปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบจากค่าเริ่มต้น และทำการปิดกั้นการเข้าถึงระบบจัดการอุปกรณ์จากอินเทอร์เน็ตภายนอกเพื่อยกระดับความมั่นคงปลอดภัยและป้องกันการถูกลักลอบควบคุมจากผู้ไม่หวังดีในระยะยาว

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/arystinger-botnet-infected-thousands-of-d-link-routers-worldwide/

Post Views: 61