ตรวจพบมัลแวร์บอตเน็ตใหม่ C0XMO มุ่งเป้าช่องโหว่เราเตอร์ DD-WRT

308/69 (IT) ประจำวันอังคารที่ 9 มิถุนายน 2569

นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์จาก Fortinet ได้ค้นพบมัลแวร์บอตเน็ตใหม่ชื่อ C0XMO ซึ่งพัฒนามาจากบอตเน็ต Gafgyt โดยมุ่งเป้าโจมตีอุปกรณ์เราเตอร์ที่ใช้เฟิร์มแวร์ DD-WRT รวมถึงอุปกรณ์บันทึกวิดีโอ แพลตฟอร์มจัดการวิดีโอ และอุปกรณ์ที่ใช้ระบบปฏิบัติการแอนดรอยด์ มัลแวร์ชนิดนี้สามารถทำงานข้ามสถาปัตยกรรมหน่วยประมวลผลที่หลากหลาย เช่น ARM, MIPS, PowerPC และ x86 สิ่งที่น่าสนใจคือ C0XMO ถูกออกแบบให้มีโครงสร้างแบบโมดูลาร์ที่สามารถปรับเปลี่ยนเทคนิคการโจมตีได้อย่างยืดหยุ่น โดยมีรายงานเบื้องต้นพบการใช้บอตเน็ตนี้โจมตีบริษัทเทคโนโลยีแห่งหนึ่งในประเทศญี่ปุ่น ซึ่งตรวจพบว่าหมายเลขไอพีต้นทางมาจากอุปกรณ์ที่ตั้งอยู่ในประเทศเยอรมนี

รายละเอียดการโจมตี มัลแวร์ C0XMO จะเจาะระบบผ่านช่องโหว่รหัส CVE-2021-27137 ซึ่งเกิดจากการตรวจสอบข้อมูลนำเข้าที่ไม่สมบูรณ์ จนนำไปสู่ภาวะ Buffer Overflow ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายได้โดยไม่ต้องยืนยันตัวตน เมื่อเข้าสู่ระบบได้สำเร็จ มัลแวร์จะดาวน์โหลดสคริปต์ภาษาไพธอนเพื่อสแกนหาช่องโหว่บนเครือข่าย และสุ่มเดารหัสผ่านผ่านบริการ Telnet และ SSH จากนั้นจะทำสำเนาตัวเองไปซ่อนไว้ในไดเรกทอรีชั่วคราวของระบบ พร้อมสร้างคำสั่งทำงานอัตโนมัติ (Cron jobs) ทุก 15 นาที มัลแวร์นี้มีความสามารถในการสแกนหาและลบมัลแวร์คู่แข่ง รวมถึงเครื่องมือรักษาความปลอดภัยอื่น ๆ ออกจากระบบได้ เพื่อยึดครองอุปกรณ์แบบเบ็ดเสร็จสำหรับรอรับคำสั่งจากเซิร์ฟเวอร์ควบคุม (C2) ในการเปิดฉากโจมตีแบบปฏิเสธการให้บริการหรือ DDoS ซึ่งรองรับรูปแบบการโจมตีที่แตกต่างกันถึง 19 วิธี

เพื่อเป็นการลดความเสี่ยงและป้องกันผลกระทบจากบอตเน็ต C0XMO ผู้ใช้งานและผู้ดูแลระบบควรเร่งตรวจสอบและอัปเดตเฟิร์มแวร์ของอุปกรณ์เครือข่ายให้เป็นเวอร์ชันล่าสุดอยู่เสมอ พร้อมทั้งตั้งค่ารหัสผ่านสำหรับผู้ดูแลระบบให้มีความรัดกุมและไม่ใช้รหัสผ่านซ้ำกับระบบอื่น นอกจากนี้ควรระงับบริการการเข้าถึงจากระยะไกล (Remote Access) หากไม่มีความจำเป็นในการใช้งาน สำหรับแนวทางการตรวจสอบเบื้องต้น ผู้ดูแลระบบสามารถตรวจสอบความผิดปกติของการตั้งค่าระบบอัตโนมัติหรือไฟล์ที่น่าสงสัยซึ่งอาจถูกซ่อนไว้ในไดเรกทอรีชั่วคราว การปฏิบัติตามคำแนะนำเหล่านี้อย่างเคร่งครัดจะช่วยปกป้องโครงสร้างพื้นฐานขององค์กรได้ เนื่องจากผู้เชี่ยวชาญประเมินว่า C0XMO มีความซับซ้อนของระบบปฏิบัติการและมีประสิทธิภาพในการโจมตีสูงกว่าบอตเน็ตบนอุปกรณ์ IoT ที่เคยพบในอดีตอย่างมีนัยสำคัญ

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/c0xmo-botnet-spreads-via-dd-wrt-router-flaw-kills-rival-malware/