خانه » بات‌نت AryStinger هزاران روتر دی-لینک را در سراسر جهان آلوده کرد

بات‌نت AryStinger هزاران روتر دی-لینک را در سراسر جهان آلوده کرد

توسط Vulnerbyte_News
16 بازدید

پژوهشگران تیم هوش تهدید (Threat Intelligence) شرکت Qianxin از شناسایی بات‌نت AryStinger خبر داده‌اند؛ یک زیرساخت بدافزاری که با آلوده‌سازی بیش از 4 هزار روتر قدیمی در سراسر جهان، آن‌ها را به سامانه‌های اجرایی (Executors) تحت کنترل مهاجمان تبدیل کرده است. بررسی‌ها نشان می‌دهد بات‌نت AryStinger با سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده در روترهای دی-لینک (D-Link)، امکان اجرای عملیات‌هایی مانند اسکن شبکه، پروکسی‌سازی ترافیک، ایجاد تونل ارتباطی و اجرای دستورات را فراهم می‌کند؛ قابلیتی که می‌تواند برای شناسایی اهداف، پنهان‌سازی فعالیت‌های مخرب و تسهیل حملات سایبری در مقیاس گسترده مورد استفاده قرار گیرد.

معماری توزیع‌شده بات‌نت AryStinger و نقش آن در حملات سایبری

به گفته پژوهشگران XLab، مهاجم می‌تواند یک عملیات اسکن گسترده را به بخش‌های کوچک‌تر تقسیم کرده و هر بخش را برای اجرای هم‌زمان به سامانه‌های اجرایی مختلف واگذار کند.

این معماری شبه‌توزیع‌شده (Distributed-like Design) به مهاجم اجازه می‌دهد فرآیند شناسایی اولیه اهداف را با سرعت و کارایی بیشتری انجام دهد؛ موضوعی که می‌تواند احتمال موفقیت عملیات‌های نفوذ در مراحل بعدی حمله را افزایش دهد.

با این حال، استفاده از روترهای آلوده تنها یکی از کاربردهای این زیرساخت بدافزاری است. پژوهشگران XLab هشدار می‌دهند بات‌نت AryStinger قادر است تنظیمات سامانه نام دامنه (DNS Settings) را دستکاری کرده و کاربران را بدون اطلاع آن‌ها به وب‌سایت‌ها و مقاصد مورد نظر مهاجم هدایت کند. علاوه بر این، این بدافزار می‌تواند به‌صورت مخفیانه تمامی ترافیک ورودی و خروجی شبکه را زیر نظر بگیرد و در برخی موارد به رهگیری یا سرقت اطلاعات در حال تبادل بپردازد.

بات‌نت AryStinger
سرور توزیع‌کننده وظایف اسکن بات‌نت AryStinger

سوءاستفاده از آسیب‌پذیری‌های قدیمی

بررسی‌های XLab نشان می‌دهد بات‌نت AryStinger برای نفوذ به دستگاه‌های هدف از چندین آسیب‌پذیری قدیمی و شناخته‌شده استفاده می‌کند که مهم‌ترین آن‌ها عبارتند از:

  • CVE‑2013‑3307
  • CVE‑2016‑5681
  • CVE‑2025‑11837

بر اساس یافته‌های محققان، روترهای D-Link DIR-850L و D-Link DIR-818LW اهداف اصلی این کمپین محسوب می‌شوند.

این دو مدل پیش‌تر نیز در حملات بات‌نت AVrecon هدف قرار گرفته بودند؛ بات‌نتی که شرکت Lumen در سال 2023 موفق به مختل کردن زیرساخت آن شد.

پراکندگی جهانی آلودگی‌ها و نسخه‌های شناسایی‌شده بدافزار

بررسی داده‌های تله‌متری Qianxin نشان می‌دهد حدود نیمی از آلودگی‌های منتسب به بات‌نت AryStinger در کره جنوبی مشاهده شده است؛ کشوری که با 48.5 درصد بیشترین سهم را از قربانیان این بدافزار دارد. چین با 31.8 درصد در جایگاه دوم قرار گرفته و پس از آن سوئد (6.4 درصد)، مالزی (3.5 درصد) و سنگاپور (2.5 درصد) قرار دارند.

به گفته پژوهشگران XLab، این بدافزار در دو واریانت (Variant) مجزا شناسایی شده است:

  • واریانت مبتنی بر C: عمدتاً روترهای قدیمی را هدف قرار می‌دهد.
  • واریانت مبتنی بر Go: برای آلوده‌سازی سامانه‌های ذخیره‌سازی تحت شبکه (NAS) طراحی شده است.

با این حال، واریانت مبتنی بر Go در مقایسه با نسخه‌ای که روترها را هدف قرار می‌دهد، تاکنون دامنه آلودگی بسیار محدودتری داشته است.

بات‌نت AryStinger
برقراری ارتباط روتر آلوده با زیرساخت فرماندهی و کنترل (C2)

قابلیت‌های پیشرفته نسخه NAS

به گفته پژوهشگران، نسخه NAS پیشرفته‌ترین نمونه شناسایی‌شده از بات‌نت AryStinger محسوب می‌شود. این نسخه علاوه بر قابلیت‌های پایه، امکاناتی مانند اسکن IP و DNS، اجرای دستورات، اجرای پیلود و شناسایی شبکه داخلی را نیز در اختیار مهاجمان قرار می‌دهد. بخشی از این قابلیت‌ها از طریق یکپارچه‌سازی ابزارهای متن‌باز تست نفوذ فراهم شده است.

همچنین پژوهشگران هشدار می‌دهند زیرساخت توزیع‌شده اسکن DNS مورد استفاده در این بات‌نت می‌تواند برای ارسال حجم انبوهی از درخواست‌های DNS به سرورهای DNS مورد سوءاستفاده قرار گیرد؛ هرچند تاکنون هیچ نشانه‌ای از اجرای چنین حملاتی مشاهده نشده است.

در بخش قابلیت‌های اجرای کد، پژوهشگران XLab اعلام کرده‌اند که نسخه NAS از اجرای دستورات شل (Shell Commands) و همچنین کدهای نوشته‌شده با زبان‌های Go، Java و Python پشتیبانی می‌کند.

با این حال، استفاده از کد منبع به‌جای فایل‌های باینری کامپایل‌شده با محدودیت‌هایی همراه است. این روش مستلزم وجود محیط‌های اجرایی مورد نیاز زبان‌های برنامه‌نویسی روی سیستم هدف است و فرآیند کامپایل نیز می‌تواند ردپاها و نشانه‌هایی ایجاد کند که سطح مخفی‌کاری بدافزار را کاهش داده و احتمال شناسایی آن را افزایش دهد.

ابهامات درباره منشأ بات‌نت AryStinger

با وجود تحلیل‌های انجام‌شده، پژوهشگران هنوز نتوانسته‌اند بات‌نت AryStinger را به هیچ گروه تهدید یا کلاستر فعالیت (Activity Cluster) شناخته‌شده‌ای نسبت دهند. به گفته تیم تحقیقاتی XLab، هنوز «ابهامات زیادی» درباره منشأ، اهداف و توسعه‌دهندگان این بدافزار وجود دارد.

راهکارهای کاهش ریسک

پژوهشگران امنیتی برای کاهش ریسک آلودگی به بات‌نت AryStinger توصیه می‌کنند:

  • روترهای در وضعیت پایان عمر (EoL) یا خارج از چرخه پشتیبانی با مدل‌های جدید و دارای پشتیبانی فعال جایگزین شوند.
  • آخرین به‌روزرسانی فریم‌ور روی دستگاه‌ها نصب شود.
  • رمز عبور پیش‌فرض حساب مدیر (Administrator) تغییر داده شود.
  • در صورت عدم نیاز، قابلیت مدیریت از راه دور (Remote Management) غیرفعال شود.

اجرای این اقدامات می‌تواند احتمال سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده و تبدیل شدن دستگاه به بخشی از یک بات‌نت را تا حد زیادی کاهش دهد.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید