สรุปสั้น
พบ botnet สายพันธุ์ใหม่ของ Gafgyt ที่ชื่อ C0XMO กำลังมุ่งเป้าเฟิร์มแวร์เราเตอร์ DD-WRT และสามารถเคลื่อนย้ายไปยังอุปกรณ์ประเภทอื่นที่มีสถาปัตยกรรม CPU หลากหลาย นักวิจัยพบตัวอย่างมัลแวร์สำหรับ ARM, MIPS, PowerPC, SuperH, x86, x86_64 และอื่นๆ พร้อม exploit สำหรับ DVR, เราเตอร์, แพลตฟอร์มบริหารวิดีโอ และอุปกรณ์ที่ใช้ Android
บอตเน็ตถูกพบว่ามุ่งโจมตีบริษัทเทคโนโลยีในญี่ปุ่น แต่นักวิจัยพบว่า source IP มาจากอุปกรณ์ที่ตั้งอยู่ในเยอรมนี นักวิจัยจาก Fortinet ค้นพบ C0XMO และเน้นย้ำถึงดีไซน์แบบ modular ที่ให้ผู้ควบคุมอัปเดตเทคนิคการเจาะ เพิ่ม/ลดสถาปัตยกรรมเป้าหมาย และขยายความสามารถในการเคลื่อนตัวด้านข้างได้โดยอิสระจาก payload หลัก
โดยพื้นฐาน C0XMO ยังคงเป็นมัลแวร์สำหรับโจมตี distributed denial-of-service (DDoS) โดยรองรับถึง 19 วิธี รวมถึง UDP/TCP/SYN/ICMP flood, “ping of death”, การขยายสัญญาณ NTP/Memcached, Discord voice UDP flood และ flood เฉพาะของ Valve ที่อันตรายคือมันยังไล่ฆ่ามัลแวร์คู่แข่งและเครื่องมือ red team บนเครื่องที่ติดมัลแวร์
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 7 มิถุนายน พ.ศ. 2569 ว่า ตามข้อมูลของนักวิจัย Fortinet มัลแวร์บอตเน็ต C0XMO ถูกส่งเข้าระบบด้วยการเจาะ CVE-2021-27137 ช่องโหว่ buffer overflow ที่เกิดจากการตรวจสอบ input ของผู้ใช้ไม่เพียงพอ ซึ่งสามารถใช้ประโยชน์ได้โดยไม่ต้องยืนยันตัวตนและนำไปสู่การรันโค้ดใดๆ ได้
เพื่อการแพร่กระจายในวงกว้าง C0XMO ดาวน์โหลดสคริปต์ Python ที่ติดตั้งแพ็กเกจเพิ่มเติม เช่น requests, paramiko และ beautifulsoup4 ซึ่งจำเป็นสำหรับการสแกนเครือข่ายและการสื่อสาร รวมถึงการทำงานผ่านโปรโตคอล SSH และ telnet สแกนเนอร์ใช้ worker thread เพื่อสุ่มสแกนระบบที่เชื่อมต่ออินเทอร์เน็ตบน port ทั่วไป เช่น 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, 8888 และอื่นๆ
หลังพบเป้าหมาย มัลแวร์จะพยายาม brute-force credential SSH และ Telnet ที่อ่อนแอ ตรวจจับสถาปัตยกรรม CPU แล้ว deploy ไบนารี C0XMO ที่เข้ากันได้ สคริปต์มีฟังก์ชันเกือบสองโหลสำหรับงานต่างๆ ทั้งสแกน เจาะช่องโหว่ HTTP และ ADB ตรวจจับสถาปัตยกรรม CPU ล็อกอิน SSH/telnet และตรวจสอบ IP address โดยมีจุดประสงค์หลักคือการเคลื่อนตัวด้านข้างในเครือข่าย

รายละเอียดช่องโหว่
เมื่อ C0XMO เข้าถึงอุปกรณ์ได้ มันจะคัดลอกตัวเองไปยังตำแหน่งซ่อน เช่น /tmp/.sys, /var/tmp/.sys และ /dev/shm/.sys จากนั้นสร้าง cron job ที่ relaunch ตัวเองทุก 15 นาที และแก้ไขไฟล์ shell startup เพื่อให้รันอัตโนมัติ นอกจากนี้ C0XMO ยังสแกน process ที่กำลังทำงานอยู่เพื่อระบุ client บอตเน็ตคู่แข่งบนเครื่อง รวมถึงเครื่องมือ red team เครื่องมือเขียนโปรแกรม และบริการเครือข่ายที่อาจรบกวนการทำงานของมัน แล้วสั่งหยุดการทำงานเหล่านั้น ด้วยการลบไบนารีและกลไกการฝังตัว ทั้ง cron job, init script, system service และ shell profile entry หลังจากนั้นมันเชื่อมต่อกับ command-and-control (C2) ที่ hardcode ไว้ ผ่าน handshake แบบหลายขั้นที่มี magic string และ shared secret แล้วรอรับคำสั่ง Fortinet อธิบายว่า C0XMO มีสถาปัตยกรรมและชุดฟีเจอร์ที่ก้าวหน้ากว่าบอตเน็ต IoT รุ่นก่อนๆ อย่างเห็นได้ชัด
ผลกระทบต่อไทย
DD-WRT เป็นเฟิร์มแวร์โอเพนซอร์สยอดนิยมที่ผู้ใช้ในไทยจำนวนมากติดตั้งบนเราเตอร์เพื่อเพิ่มฟีเจอร์ และอุปกรณ์ IoT อย่าง DVR, กล้องวงจรปิด และเราเตอร์ราคาประหยัดก็แพร่หลายในครัวเรือนและธุรกิจขนาดเล็กของไทย อุปกรณ์เหล่านี้มักไม่ได้รับการอัปเดตเฟิร์มแวร์และใช้รหัสผ่านเริ่มต้นที่อ่อนแอ ทำให้ตกเป็นเป้าของ C0XMO ได้ง่าย ทั้งจากการเจาะ CVE-2021-27137 และการ brute-force SSH/Telnet เมื่อถูกยึด อุปกรณ์จะกลายเป็นส่วนหนึ่งของบอตเน็ตที่ใช้โจมตี DDoS ซึ่งอาจทำให้ IP ของผู้ใช้ไทยถูกใช้ก่อเหตุโดยไม่รู้ตัว และกินแบนด์วิดท์จนอินเทอร์เน็ตช้า การที่มัลแวร์ลามข้ามสถาปัตยกรรมได้ยังเพิ่มความเสี่ยงต่ออุปกรณ์หลากหลายประเภทในเครือข่ายเดียวกัน
คำแนะนำ
อัปเดตเฟิร์มแวร์ของเราเตอร์ DD-WRT และอุปกรณ์ IoT ทุกตัวให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ CVE-2021-27137 เปลี่ยนรหัสผ่าน admin เริ่มต้นเป็นรหัสที่แข็งแรงและไม่ซ้ำกันสำหรับทุกอุปกรณ์ ปิดการเข้าถึงระยะไกล (remote management) และบริการ SSH/Telnet ที่ไม่จำเป็น โดยเฉพาะที่เปิดสู่อินเทอร์เน็ต ตรวจสอบ cron job, startup script และไฟล์ในตำแหน่งซ่อน เช่น /tmp/.sys เพื่อหาร่องรอยการติดมัลแวร์ จำกัดการเข้าถึง port บริหารจัดการเฉพาะภายในเครือข่าย และเฝ้าระวังทราฟฟิกขาออกที่ผิดปกติซึ่งอาจบ่งชี้การสื่อสารกับ C2 หรือการเข้าร่วมโจมตี DDoS หากสงสัยว่าอุปกรณ์ติดมัลแวร์ ควร reset เป็นค่าโรงงานและตั้งค่าใหม่ทั้งหมด
