360/69 (IT) ประจำวันพฤหัสบดีที่ 2 กรกฎาคม 2569

นักวิจัยด้านความปลอดภัยเปิดเผยการพบมัลแวร์ตระกูลใหม่ชื่อ RustDuck ซึ่งเป็นบอตเน็ตที่มุ่งยึดอุปกรณ์ที่เปิดเชื่อมต่อกับอินเทอร์เน็ต เช่น เราเตอร์ กล้อง IP, Android box และเซิร์ฟเวอร์ที่มีการตั้งค่าความปลอดภัยไม่เหมาะสม เพื่อนำมาใช้เป็นเครือข่ายสำหรับโจมตีแบบ Distributed Denial-of-Service (DDoS) โดยมีการติดตามกิจกรรมของมัลแวร์ตระกูลนี้มาตั้งแต่เดือนกุมภาพันธ์ 2569
RustDuck ใช้วิธีแพร่กระจายหลายรูปแบบ ทั้งการเดารหัสผ่านของบริการ Telnet และ SSH ที่ใช้รหัสผ่านอ่อนแอหรือค่าเริ่มต้น การโจมตีช่องโหว่ในอุปกรณ์ IoT และเราเตอร์ รวมถึงช่องโหว่ในซอฟต์แวร์ฝั่งเซิร์ฟเวอร์ เช่น ThinkPHP, Jenkins และ Hadoop YARN นอกจากนี้ ยังพบการใช้ช่องโหว่เก่าหลายรายการ เช่น CVE-2017-17215, CVE-2025-29635, CVE-2024-1781 และ CVE-2018-8007 เพื่อโจมตีอุปกรณ์และระบบที่ยังไม่ได้อัปเดตแพตช์
RustDuck มีโครงสร้างการทำงานแบ่งเป็น 2 ส่วนหลัก คือ loader สำหรับถอดรหัสและโหลดโมดูลหลัก และ core module สำหรับรับคำสั่งจากเซิร์ฟเวอร์ควบคุม โดยพบว่าโมดูลหลักรุ่นใหม่อยู่ระหว่างการพัฒนาจากภาษา C ไปเป็นภาษา Rust พร้อมเพิ่มเทคนิคหลบเลี่ยงการวิเคราะห์ เช่น ตรวจจับเครื่องมือวิเคราะห์มัลแวร์ debugger, sandbox, honeypot และ virtual machine รวมถึงเข้ารหัสการสื่อสารกับเซิร์ฟเวอร์ควบคุม ผู้ดูแลระบบควรปิดบริการ Telnet, SSH และ Android Debug Bridge ที่ไม่จำเป็น ไม่เปิดหน้าบริหารจัดการไว้บนอินเทอร์เน็ต เปลี่ยนรหัสผ่านเริ่มต้น อัปเดตอุปกรณ์ที่ยังรองรับแพตช์ และพิจารณาเปลี่ยนอุปกรณ์ที่หมดอายุการสนับสนุนเพื่อลดความเสี่ยง
แหล่งข่าว : https://thehackernews.com/2026/06/rustduck-botnet-rebuilds-in-rust-to.html
