پژوهشگران تیم هوش تهدید (Threat Intelligence) شرکت Qianxin از شناسایی باتنت AryStinger خبر دادهاند؛ یک زیرساخت بدافزاری که با آلودهسازی بیش از 4 هزار روتر قدیمی در سراسر جهان، آنها را به سامانههای اجرایی (Executors) تحت کنترل مهاجمان تبدیل کرده است. بررسیها نشان میدهد باتنت AryStinger با سوءاستفاده از آسیبپذیریهای شناختهشده در روترهای دی-لینک (D-Link)، امکان اجرای عملیاتهایی مانند اسکن شبکه، پروکسیسازی ترافیک، ایجاد تونل ارتباطی و اجرای دستورات را فراهم میکند؛ قابلیتی که میتواند برای شناسایی اهداف، پنهانسازی فعالیتهای مخرب و تسهیل حملات سایبری در مقیاس گسترده مورد استفاده قرار گیرد.
معماری توزیعشده باتنت AryStinger و نقش آن در حملات سایبری
به گفته پژوهشگران XLab، مهاجم میتواند یک عملیات اسکن گسترده را به بخشهای کوچکتر تقسیم کرده و هر بخش را برای اجرای همزمان به سامانههای اجرایی مختلف واگذار کند.
این معماری شبهتوزیعشده (Distributed-like Design) به مهاجم اجازه میدهد فرآیند شناسایی اولیه اهداف را با سرعت و کارایی بیشتری انجام دهد؛ موضوعی که میتواند احتمال موفقیت عملیاتهای نفوذ در مراحل بعدی حمله را افزایش دهد.
با این حال، استفاده از روترهای آلوده تنها یکی از کاربردهای این زیرساخت بدافزاری است. پژوهشگران XLab هشدار میدهند باتنت AryStinger قادر است تنظیمات سامانه نام دامنه (DNS Settings) را دستکاری کرده و کاربران را بدون اطلاع آنها به وبسایتها و مقاصد مورد نظر مهاجم هدایت کند. علاوه بر این، این بدافزار میتواند بهصورت مخفیانه تمامی ترافیک ورودی و خروجی شبکه را زیر نظر بگیرد و در برخی موارد به رهگیری یا سرقت اطلاعات در حال تبادل بپردازد.
سوءاستفاده از آسیبپذیریهای قدیمی
بررسیهای XLab نشان میدهد باتنت AryStinger برای نفوذ به دستگاههای هدف از چندین آسیبپذیری قدیمی و شناختهشده استفاده میکند که مهمترین آنها عبارتند از:
- CVE‑2013‑3307
- CVE‑2016‑5681
- CVE‑2025‑11837
بر اساس یافتههای محققان، روترهای D-Link DIR-850L و D-Link DIR-818LW اهداف اصلی این کمپین محسوب میشوند.
این دو مدل پیشتر نیز در حملات باتنت AVrecon هدف قرار گرفته بودند؛ باتنتی که شرکت Lumen در سال 2023 موفق به مختل کردن زیرساخت آن شد.
پراکندگی جهانی آلودگیها و نسخههای شناساییشده بدافزار
بررسی دادههای تلهمتری Qianxin نشان میدهد حدود نیمی از آلودگیهای منتسب به باتنت AryStinger در کره جنوبی مشاهده شده است؛ کشوری که با 48.5 درصد بیشترین سهم را از قربانیان این بدافزار دارد. چین با 31.8 درصد در جایگاه دوم قرار گرفته و پس از آن سوئد (6.4 درصد)، مالزی (3.5 درصد) و سنگاپور (2.5 درصد) قرار دارند.
به گفته پژوهشگران XLab، این بدافزار در دو واریانت (Variant) مجزا شناسایی شده است:
- واریانت مبتنی بر C: عمدتاً روترهای قدیمی را هدف قرار میدهد.
- واریانت مبتنی بر Go: برای آلودهسازی سامانههای ذخیرهسازی تحت شبکه (NAS) طراحی شده است.
با این حال، واریانت مبتنی بر Go در مقایسه با نسخهای که روترها را هدف قرار میدهد، تاکنون دامنه آلودگی بسیار محدودتری داشته است.
قابلیتهای پیشرفته نسخه NAS
به گفته پژوهشگران، نسخه NAS پیشرفتهترین نمونه شناساییشده از باتنت AryStinger محسوب میشود. این نسخه علاوه بر قابلیتهای پایه، امکاناتی مانند اسکن IP و DNS، اجرای دستورات، اجرای پیلود و شناسایی شبکه داخلی را نیز در اختیار مهاجمان قرار میدهد. بخشی از این قابلیتها از طریق یکپارچهسازی ابزارهای متنباز تست نفوذ فراهم شده است.
همچنین پژوهشگران هشدار میدهند زیرساخت توزیعشده اسکن DNS مورد استفاده در این باتنت میتواند برای ارسال حجم انبوهی از درخواستهای DNS به سرورهای DNS مورد سوءاستفاده قرار گیرد؛ هرچند تاکنون هیچ نشانهای از اجرای چنین حملاتی مشاهده نشده است.
در بخش قابلیتهای اجرای کد، پژوهشگران XLab اعلام کردهاند که نسخه NAS از اجرای دستورات شل (Shell Commands) و همچنین کدهای نوشتهشده با زبانهای Go، Java و Python پشتیبانی میکند.
با این حال، استفاده از کد منبع بهجای فایلهای باینری کامپایلشده با محدودیتهایی همراه است. این روش مستلزم وجود محیطهای اجرایی مورد نیاز زبانهای برنامهنویسی روی سیستم هدف است و فرآیند کامپایل نیز میتواند ردپاها و نشانههایی ایجاد کند که سطح مخفیکاری بدافزار را کاهش داده و احتمال شناسایی آن را افزایش دهد.
ابهامات درباره منشأ باتنت AryStinger
با وجود تحلیلهای انجامشده، پژوهشگران هنوز نتوانستهاند باتنت AryStinger را به هیچ گروه تهدید یا کلاستر فعالیت (Activity Cluster) شناختهشدهای نسبت دهند. به گفته تیم تحقیقاتی XLab، هنوز «ابهامات زیادی» درباره منشأ، اهداف و توسعهدهندگان این بدافزار وجود دارد.
راهکارهای کاهش ریسک
پژوهشگران امنیتی برای کاهش ریسک آلودگی به باتنت AryStinger توصیه میکنند:
- روترهای در وضعیت پایان عمر (EoL) یا خارج از چرخه پشتیبانی با مدلهای جدید و دارای پشتیبانی فعال جایگزین شوند.
- آخرین بهروزرسانی فریمور روی دستگاهها نصب شود.
- رمز عبور پیشفرض حساب مدیر (Administrator) تغییر داده شود.
- در صورت عدم نیاز، قابلیت مدیریت از راه دور (Remote Management) غیرفعال شود.
اجرای این اقدامات میتواند احتمال سوءاستفاده از آسیبپذیریهای شناختهشده و تبدیل شدن دستگاه به بخشی از یک باتنت را تا حد زیادی کاهش دهد.