มัลแวร์ Botnet ระบาดหนักบนเราเตอร์ D-Link หลายรุ่น พบความสามารถสูงระดับตวบคุมระบบได้สมบูรณ์

เครื่องมือสามัญที่เรียกได้ว่าผู้ใช้อินเทอร์เน็ตทุกรายต้องมี นั่นคือ เราเตอร์ สำหรับใช้ในการเป็นตัวกลางเพื่อเชื่อมต่อผู้ใช้งานกับโลกอินเทอร์เน็ต นั่นทำให้ช่องโหว่ของเราเตอร์นั้นเป็นสิ่งสำคัญที่แฮกเกอร์พยายามจะนำมาใช้งานเพื่อแอบแทรกซึมตัวเองลงสู่ระบบของเหยื่อ

จากรายงานโดยเว็บไซต์ Cyber Security News ได้อ้างอิงถึงรายงานจากทีมวิจัยแห่ง FortiGuard Labs ซึ่งเป็นหน่วยงานย่อยของ Fortinet บริษัทผู้เชี่ยวชาญด้านโซลูชันความปลอดภัยไซเบอร์ในระดับองค์กร ได้รายงานถึงการตรวจพบการระบาดของมัลแวร์ประเภทเข้าครอบงำเครื่องของเหยื่อเพื่อใช้เป็นส่วนหนึ่งในการโจมตีระบบที่ใหญ่กว่า หรือ Botnet ถึง 2 ตัว นั่นคือ FICORA และ CAPSAICIN โดยมัลแวร์ทั้ง 2 ตัวนี้นั้นมีการใช้ช่องโหว่ที่อยู่ในส่วนอินเตอร์เฟสของตัวเราเตอร์ที่มีชื่อว่า Home Network Administration Protocol (HNAP) ซึ่งช่องโหว่ดังกล่าวนั้นจะเปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดจากระยะไกลเพื่อเข้าสู่ระบบ และติดตั้งมัลแวร์ได้

และช่องโหว่ดังกล่าวนั้นไม่ได้มีเพียงแค่ตัวเดียว แต่มีอยู่ถึง 4 ตัว นั่นคือ CVE-2015-2051, CVE-2019-10891, CVE-2022-37056, และ CVE-2024-33112 แต่ข่าวดีก็คือ ช่องโหว่ดังกล่าวนั้นได้ถูกตรวจพบมานานนับสิบปีแล้ว และได้มีการออกแพทซ์เพื่อทำการอุดช่องโหว่ไปเป็นที่เรียบร้อยแล้ว ดังนั้น ผู้ที่ได้รับผลกระทบนั้นจะเป็นกลุ่มผู้ใช้งานที่ไม่เคยได้ทำการอัปเดตเฟิร์มแวร์เพื่ออุดช่องโหว่ที่อยู่บนระบบของเราเตอร์เท่านั้น ดังนั้น ทีมข่าวขอแนะนำให้ทางผู้อ่านที่มีการใช้งานเราเตอร์ของ D-Link ทำการตรวจสอบรุ่นของเฟิร์มแวร์ และถ้ายังไม่ได้อัปเดต ขอให้ทำการอัปเดตขึ้นเป็นรุ่นล่าสุด ก็จะสามารถลงความเสี่ยงจากการถูกโจมตีโดยมัลแวร์ดังกล่าวได้

นอกจากนั้นแล้ว ทางแหล่งข่าวยังได้มีการให้ข้อมูลเกี่ยวกับมัลแวร์ทั้ง 2 ตัว โดยสำหรับมัลแวร์ FICORA นั้น ตัวมัลแวร์ดังกล่าวเป็นสายพันธุ์ย่อยที่ถูกพัฒนาต่อยอดมาจากมัลแวร์ที่มีชื่อว่า Mirai โดยทั้งหมดนั้นเป็นมัลแวร์ประเภท Botnet โดยตัวมัลแวร์ จะใช้การโจมตีด้วยวิธีการสุ่มรหัสผ่าน (Brute Force) เพื่อเข้าสู่ระบบ โดยหลังจากที่เข้าถึงและติดตั้งตนเองสู่ระบบเป้าหมายได้แล้ว ตัวมัลแวร์จะทำการติดต่อการเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) โดยมีการรับส่งข้อมูลที่มีการเข้ารหัสด้วยเทคโนโลยี ChaCha20 เพื่อปกปิดข้อมูลการตั้งค่า และข้อมูลคำสั่งต่าง ๆ จากเซิร์ฟเวอร์ C2 โดยตัวมัลแวร์นั้นจะใช้เครื่องของเหยื่อเป็นส่วนหนึ่งในการโจมตีในรูปแบบ Distributed Denial-of-Dervice (DDoS) ไปยังเป้าหมายที่ใหญ่กว่า โดยจะเป็นการสั่งให้ตัวเครื่องของเหยื่อยิงแพ็คเกจผ่านทางพอร์ต UDP และ TCP

สำหรับมัลแวร์ CAPSAICIN นั้น ทางแหล่งข่าวไม่ได้ให้รายละเอียดไว้มากนัก เพียงแต่กล่าวว่ามัลแวร์ดังกล่าวนั้นเน้นการกระจายตัวอย่างรวดเร็ว และมีความสามารถในการทำลายมัลแวร์ของคู่แข่งที่ติดอยู่บนเครื่องของเหยื่ออยู่แล้ว เพื่อที่ตัวมัลแวร์นั้นจะได้มีความสามารถในการเข้าครอบงำ และใช้งานระบบเป้าหมายได้อย่างเต็มรูปแบบ

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv