โปรดอัพเดตเบราว์เซอร์

เบราว์เซอร์ที่คุณใช้เป็นเวอร์ชันเก่าซึ่งไม่สามารถใช้บริการของเราได้ เราขอแนะนำให้อัพเดตเบราว์เซอร์เพื่อการใช้งานที่ดีที่สุด

มัลแวร์ Ballista Botnet ใช้ช่องโหว่บน TP-Link Archer Router ฝังตัวเองเข้าระบบ ติดแล้วกว่า 6,000 ราย

Thaiware

อัพเดต 20 มี.ค. 2568 เวลา 10.00 น. • เผยแพร่ 20 มี.ค. 2568 เวลา 10.00 น. • Sarun_ss777
ช่องโหว่ดังกล่าวอยู่ในส่วนของ Country Form บน Web Management ทำให้แฮกเกอร์ใช้ยิง RCE ฝังมัลแวร์ลงได้

ถ้าจะกล่าวถึงอุปกรณ์ที่ผู้คนมักละเลย แต่เป็นเป้าสำคัญของการแฮก และฝังมัลแวร์คงจะหนีไม่พ้นเราเตอร์ ซึ่งเป็นอุปกรณ์ที่เป็นด่านหน้าในการติดต่อระหว่างผู้ใช้งาน และระบบอินเทอร์เน็ต และข่าวนี้อาจเป็นอีกหนึ่งข่าวร้าย

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบช่องโหว่ที่อยู่บนเราเตอร์ TP-Link Archer รุ่น AX-21 ที่มีการติดตั้งเฟิร์มแวร์รุ่นก่อนหน้า 1.1.4 Build 20230219 โดยช่องโหว่ดังกล่าวมีชื่อว่า CVE-2023-1389 ซึ่งเป็นช่องโหว่ที่อยู่ในส่วนของ Country Form (/cgi-bin/luci;stok=/) หรือ การตั้งค่าประเทศบนระบบการตั้งค่าเราเตอร์ผ่านเว็บ หรือ Web Management Interface โดยเป็นช่องโหว่ในการตรวจสอบความปลอดภัยของค่าที่ถูกป้อนลงไปใน Country Parameter ก่อนเรียกใช้ฟังก์ชัน call to popen() ทำให้แฮกเกอร์สามารถใช้ช่องโหว่จุดนี้ ใส่โค้ดคำสั่ง ทำการรันโค้ดจากระยะไกล หรือ RCE (Remote Code Execution) ได้

ซึ่งช่องโหว่ดังกล่าวก็ไม่ใช่ช่องโหว่ที่ใหม่แต่อย่างใด เนื่องมาจากเป็นช่องโหว่ที่ถูกตรวจพบมาตั้งแต่ปี ค.ศ. 2023 (พ.ศ. 2566) และได้มีการถูกตรวจพบว่าเคยถูกนำไปใช้ในการฝังมัลแวร์ประเภทเปลี่ยนเครื่องของเหยื่อเพื่อเป็นตัวแทนในการยิงระบบใหญ่ หรือ Botnet อย่างเช่น Mirai มาแล้ว รวมทั้งเคยถูกใช้งานเพื่อฝังมัลแวร์ตระกูลอื่น ๆ เช่น Condi และ AndroxGh0st มาแล้วอีกด้วย

มัลแวร์ Ballista Botnet ใช้ช่องโหว่บน TP-Link Archer Router ฝังตัวเองเข้าระบบ ติดแล้วกว่า 6,000 ราย

ภาพจาก : https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html

และในช่วงเดือนมกราคมที่ผ่านมา ทางทีมวิจัย Cato CTRL ก็ได้เปิดเผยว่า มีการตรวจพบแคมเปญที่ใช้ช่องโหว่ดังกล่าวอีกครั้งหนึ่ง ซึ่งคราวนี้ก็ยังคงเป็นมัลแวร์ประเภท Botnet โดยมัลแวร์ตัวดังกล่าวมีชื่อว่า Ballista ที่ขั้นตอนการฝังตัวลงสู่ระบบนั้นจะเริ่มต้นจากการวางมัลแวร์นกต่อ (Dropper) ในรูปแบบ Shell Script ที่มีชื่อไฟล์ว่า dropbpb.sh ลงไปบนเครื่องของเหยื่อ โดยไฟล์ดังกล่าวถูกสร้างขึ้นเพื่อให้สามารถรันบนระบบที่ใช้สถาปัตยกรรม mips, mipsel, armv5l, armv7l, และ x86_64 ได้ โดยมัลแวร์ดังกล่าวนั้นเมื่อมีการตรวจสอบในส่วนของ String ที่อยู่บนโค้ดของมัลแวร์แล้ว พบว่าถูกเขียนขึ้นด้วยภาษาอิตาเลียน ทำให้สันนิษฐานได้ว่า แฮกเกอร์ชาวอิตาลีอาจเป็นผู้ที่อยู่เบื้องหลังแคมเปญการโจมตีนี้

โดยหลังจากที่ฝังมัลแวร์ลงสู่เครื่องเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทางพอร์ต 82 เพื่อรับคำสั่งในการเข้าควบคุมระบบของเหยื่อ โดยเซิร์ฟเวอร์ดังกล่าวนั้นมีหมายเลข IP คือ 2.237.57[.]70 ในช่วงเวลาของการตรวจสอบ แต่ในเวลาต่อมาทางทีมวิจัยกลับพบว่าหมายเลข IP นี้กลับไม่สามารถใช้งานได้แล้ว ทำให้สันนิษฐานว่าแฮกเกอร์ยังคงพัฒนามัลแวร์ดังกล่าวอยู่อย่างต่อเนื่อง ทั้งยังมีการตรวจพบมัลแวร์เวอร์ชันใหม่ที่มีการใช้ TOR Network แทนการกำหนดหมายเลข IP ของเซิร์ฟเวอร์ C2 อย่างชัดเจนบนตัวโค้ด (Hard-Coded) ทำให้มีการทำงานที่ยืดหยุ่น และซ่อนเร้น ยากแก่การตรวจจับมากยิ่งขึ้น

สำหรับคำสั่งที่ทางเซิร์ฟเวอร์ C2 สั่งงานมัลแวร์นั้นมีดังนี้

  • Flooder: คำสั่งสำหรับการทำการ Flood (รัวยิงคำสั่ง)
  • Exploiter: คำสั่งในการใช้งานช่องโหว่ CVE-2023-1389
  • Start: คำสั่งเพิ่มเติมที่ใช้ร่วมกับคำสั่ง Exploiter
  • Close: คำสั่งยกเลิกการใช้งาน Module Triggering Function
  • Shell: คำสั่งสำหรับการรัน Linux Shell Command บนเครื่องของเหยื่อ
  • Killall: ปิดการทำงานของตัวมัลแวร์และคำสั่งทั้งหมด

โดยในปัจจุบันนั้นมีการตรวจพบว่ามีอุปกรณ์ที่เป็นกรณีตกเป็นเหยื่อของมัลแวร์ตัวนี้มากกว่า 6,000 ตัว ในแถบประเทศ บราซิล, โปแลนด์, บัลแกเรีย, ตุรกี, สหราชอาณาจักร (อังกฤษ) และบราซิล แต่ถึงกระนั้นอุปกรณ์ที่ตกเป็นเหยื่อก็ล้วนแต่เป็นอุปกรณ์ที่ไม่ได้ทำการอัปเดตเฟิร์มแวร์เป็นรุ่นล่าสุดทั้งสิ้น โดยแหล่งข่าวได้ระบุว่า การอัปเดตเฟิร์มแวร์ของเราเตอร์ดังกล่าวเป็นรุ่นล่าสุดก็จะสามารถอุดช่องโหว่ที่มี และปลอดภัยจากมัลแวร์ดังกล่าวได้

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv

ดูข่าวต้นฉบับ
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...