มัลแวร์สายพันธุ์ย่อยของ Mirai บุกป่วนแฮกเราเตอร์
มัลแวร์สายพันธุ์ย่อยของ Mirai บุกป่วนแฮกเราเตอร์ และเครื่องบันทึกกล้องวงจรปิดทั่วโลก
มัลแวร์ประเภทเปลี่ยนเครื่องของเหยื่อให้เป็นหนึ่งในเครือข่ายในการยิงระบบที่ใหญ่กว่า หรือ Botnet นั้น ที่ขึ้นชื่อคงจะหนีไม่พ้นมัลแวร์ Mirai ที่มีการแตกย่อยสายพันธุ์เป็นจำนวนมาก และในคราวนี้ก็เป็นอีกหนึ่งสายพันธุ์แยก�ย่อยของ Mirai ที่ต้องถูกจับตามอง
จากรายงานโดยเว็บไซต์ Help Net Security ได้กล่าวถึงการตรวจพบมัลแวร์สายพันธุ์ที่แตกย่อยมาจากมัลแวร์ Mirai ชื่อว่า “Tuxnokill” ที่มุ่งเน้นการโจมตีอุปกรณ์ที่เกี่ยวข้องกับเครือข่ายอย่าง เราเตอร์ ซึ่งแคมเปญการแพร่กระจายมัลแวร์ตัวนี้ได้ถูกตรวจพบโดยทีมวิจัยจาก Akamai บริษัทผู้เชี่ยวชาญด้านการพัฒนาเทคโนโลยีรักษาความปลอดภัยบนระบบคลาวด์ (Cloud) ซึ่งทีมวิจัยได้กล่าวว่า แฮกเกอร์ที่อยู่เบื้องหลังมัลแวร์ตัวนี้ ได้ใช้มัลแวร์ในการโจมตีเราเตอร์ D-Link DIR-823X ผ่านช่องโหว่ CVE-2025-29635 ซึ่งเป็นช่องโหว่ที่เปิดช่องให้แฮกเกอร์สามารถยิงคำสั่ง (Command Injection) ใส่ตัวเราเตอร์ได้ ซึ่งนอกจากการโจมตีเราเตอร์รุ่นดังกล่าวแล้ว ทางทีมวิจัยยังพบว่าแฮกเกอร์ได้ใช้มัลแวร์ดังกล่าวโจมตีเราเตอร์แบรนด์อื่น เช่น TP-Link Archer AX21 ผ่านทางช่องโหว่ CVE-2023-1389 และ ZTE ZXV10 H108L ผ่านเครื่องมือเจาะระบบ (Exploit) อีกด้วย
นอกจากมัลแวร์ข้างต้นแล้ว ทางทีมวิจัยจาก FortiGuard หน่วยงานย่อยของบริษัทผู้พัฒนาเทคโนโลยีระบบเครือข่าย (Network) ชื่อดัง Fortinet ได้ตรวจพบแคมเปญคู่ขนานของแฮกเกอร์กลุ่ม “Nexus Team” ที่มุ่งเครื่องบันทึกกล้องวงจรปิด (DVR หรือ Digital Video Recorder) ผ่านช่องโหว่ CVE-2024-3721 ด้วยการใช้งานมัลแวร์ “Nexcorium” ที่มีวิธีการทำงานที่ลึกล้ำกว่า (Sophisticated) มัลแวร์ตัวแรก ด้วยการสร้างความคงทนบนระบบ (Persistence) ถึง 4 รูปแบบในเวลาเดียวกัน
อัปเดต /etc/inittab เพื่อให้มั่นใจว่ามัลแวร์จะสามารถกลับมาทำงานใหม่ได้ถ้ามีการหยุดทำงานกระทันหัน
สร้าง หรือ อัปเดต /etc/rc.local เพื่อให้มั่นใจว่า มัลแวร์จะกลับมาทำงานอีกครั้งหลังเครื่องถูกรีบูท (Reboot)
ตรวจสอบในส่วนภาคระบบ (System Path) อย่าง /bin/systemctl, /usr/bin/systemctl, และ /etc/system/system แล้วทำการสร้างไฟล์ส่วนบริการ (Service File) ชื่อว่า /etc/systemd/system/persist.service เพื่อให้มีการรันอย่างอัตโน��มัติเมื่อเครื่องถูกบูทขึ้นมาใหม่ (Startup)
สร้างตารางการทำงาน (Task Scheduling) ด้วยการใช้งาน crontab เพื่อรับประกันว่ามัลแวร์จะถูกรันขึ้นมาใหม่เมื่อเครื่องถูกรีบูท
หลังจากทั้ง 4 ขั้นตอนเสร็จสิ้น ตัวมัลแวร์ก็จะทำการลบไฟล์ติดตั้งมัลแวร์ (Binary) ทิ้งทันทีเพื่อกลบเกลื่อนร่องรอยไม่ให้ถูกตรวจสอบได้ ซึ่งอุปกรณ์ทั้งหมดที่ติดมัลแวร์เหล่านี้จะถูกนำไปใช้งานในการรุมยิงถล่มระบบที่ใหญ่กว่า หรือ ที่เรียกว่าการทำ DDoS (Distributed Denial of Service)
การติดตามและป้องกันมัลแวร์ประเภท Botnet อย่าง Tuxnokill และ Nexcorium เป็นประเด็นสำคัญที่ผู้ใช้งานเครือข่ายและอุปกรณ์ IoT ควรให้ความสนใจอย่างสูง จากประสบการณ์ส่วนตัวในการดูแลระบบเครือข่ายและเราเตอร์ที่บ้าน พบว่าการอัปเดตเฟิร์มแวร์บ่อยๆ ช่วยลดความเสี่ยงจากช่องโหว่ทั้ง CVE-2025-29635 ที่ส่งผลกระทบกับ D-Link DIR-823X และ CVE-2023-1389 ของ TP-Link Archer AX21 รวมถึงช่องโหว่ที่ ZTE ZXV10 H108L ถูกโจมตีได้ นอกจากนี้ การตั้งค่าความปลอดภัยพื้นฐาน เช่น การเปลี่ยนรหัสผ่านดีฟอลต์ และปิดฟังก์ชันที่ไม่จำเป็น เป็นแนวทางที่ควรทำควบคู่ไปด้วย สำหรับเครื่องบันทึกกล้องวงจรปิด (DVR) ที่มีการตรวจพบมัลแวร์ Nexcorium ที่สามารถฝังตัวแบบถาวร 4 รูปแบบ เช่น การแก้ไขไฟล์ระบบ /etc/inittab, /etc/rc.local, การสร้าง systemd service และตั้งงานใน crontab นั้น ผู้ใช้ควรตรวจเช็กการตั้งค่าความปลอดภัยอย่างสม่ำเสมอ และหากเป็นไปได้ ควรอัปเดตซอฟต์แวร์หรือใช้อุปกรณ์ที่ได้รับการสนับสนุนด้านแพตช์อย่างต่อเนื่อง มัลแวร์เหล่านี้มีจุดมุ่งหมายหลักคือการจัดตั้งเครือข่าย Botnet เพื่อโจมตีระบบใหญ่ในรูปแบบ DDoS ที่สามารถล่มระบบเป้าหมายได้ ผู้ใช้ทั่วไปจึงควรมีความรู้และติดตามข่าวสารด้านความปลอดภัยไซเบอร์อยู่เสมอ รวมถึงการเลือกใช้อุปกรณ์ที่มีชื่อเสียงและสนับสนุนการอัปเดตด้านความปลอดภัย เพื่อป้องกันไม่ให้อุปกรณ์ของตัวเองกลายเป็นเครื่องมือโจมตีผู้อื่นโดยไม่รู้ตัว โดยส่วนตัวยอมรับว่าความปลอดภัยบนอุปกรณ์เราท์เตอร์และ IoT นั้นจำเป็นต้องได้รับการใส่ใจเพิ่มขึ้น เพราะหลายครั้งที่ช่องโหว่เหล่านี้ถูกใช้โจมตีโดยไม่รู้ตัว และทำให้ระบบที่เราใช้งานประจำวันได้รับผลกระทบไปด้วย การแบ่งปันข้อมูลและความรู้ในชุมชนออนไลน์ช่วยให้เข้าใจภัยคุกคามได้ดียิ่งขึ้น และทำให้เราพร้อมรับมือกับการโจมตีในอนาคตได้อย่างมีประสิทธิภาพ
