SiamByte

เว็บไซต์ข่าวมือถือ รีวิว เปรียบเทียบ ราคา และสเปคโทรศัพท์ อัปเดตมือถือใหม่ล่าสุด พร้อมข่าวเทคโนโลยี AI และ Gadget ครบในที่เดียว

พบ TuxBot v3 Evolution บอตเน็ต IoT ที่ใช้ AI ช่วยพัฒนา พร้อมระบบโจมตี DDoS หลายรูปแบบ

พบ TuxBot v3 Evolution บอตเน็ต IoT ที่ใช้ AI ช่วยพัฒนาและรองรับการโจมตี DDoS หลายรูปแบบ

นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยรายละเอียดของ TuxBot v3 Evolution เฟรมเวิร์กบอตเน็ตสำหรับโจมตีอุปกรณ์ Internet of Things หรือ IoT ซึ่งไม่เคยมีรายงานอย่างเป็นทางการมาก่อน โดยพบหลักฐานหลายส่วนที่บ่งชี้ว่าผู้พัฒนาใช้โมเดลภาษาขนาดใหญ่หรือ LLM เข้ามาช่วยสร้างและปรับปรุงโค้ดของมัลแวร์

อย่างไรก็ตาม โค้ดหลายส่วนของ TuxBot v3 Evolution ยังทำงานไม่สมบูรณ์ และภายในไฟล์ยังพบข้อความคำเตือนด้านความปลอดภัย รวมถึงกระบวนการวิเคราะห์ของ AI ที่ผู้พัฒนาไม่ได้ลบออกก่อนนำโค้ดไปใช้งาน

แม้ตัวอย่างที่นักวิจัยตรวจสอบจะยังมีข้อผิดพลาด แต่โครงสร้างโดยรวมแสดงให้เห็นว่า AI อาจช่วยให้ผู้โจมตีรายเดียวสามารถสร้างระบบบอตเน็ตขนาดใหญ่ที่มีองค์ประกอบซับซ้อนได้รวดเร็วยิ่งขึ้น

TuxBot v3 Evolution คืออะไร

TuxBot v3 Evolution เป็นเฟรมเวิร์กบอตเน็ตแบบแยกส่วนที่ออกแบบมาเพื่อควบคุมอุปกรณ์ IoT ที่ถูกเจาะระบบ เช่น เราเตอร์ กล้องวงจรปิด อุปกรณ์เครือข่าย เซิร์ฟเวอร์ Linux และอุปกรณ์ที่เปิดบริการ Telnet หรือบริการจัดการระยะไกลโดยไม่มีการป้องกันที่เพียงพอ

เมื่ออุปกรณ์ติดมัลแวร์แล้ว ผู้ควบคุมสามารถสั่งให้อุปกรณ์เหล่านั้นเข้าร่วมการโจมตีแบบ Distributed Denial-of-Service หรือ DDoS สแกนหาเป้าหมายเพิ่มเติม เปิดพร็อกซี หรือเรียกใช้โมดูลอื่นภายในระบบได้

นักวิจัยจาก Palo Alto Networks Unit 42 ระบุว่า TuxBot v3 Evolution ถูกสร้างขึ้นให้มีลักษณะคล้ายแพลตฟอร์มควบคุมบอตเน็ตระดับมืออาชีพ รองรับผู้ใช้งานหลายคน มีแผงควบคุมสำหรับผู้ดูแล ระบบติดตั้งอัตโนมัติ และโมดูลโจมตีที่สามารถเพิ่มเติมหรือแก้ไขได้

พบหลักฐานการใช้ AI ช่วยเขียนโค้ดมัลแวร์

หนึ่งในประเด็นสำคัญของ TuxBot v3 Evolution คือการพบข้อความที่เกี่ยวข้องกับโมเดลภาษาขนาดใหญ่ภายในซอร์สโค้ด

นักวิจัยพบว่าไฟล์หลายรายการมีความคิดเห็นในโค้ดที่บันทึกกระบวนการคิด การตัดสินใจ และขั้นตอนการย้ายฟังก์ชันจากภาษาหนึ่งไปยังอีกภาษาหนึ่ง ซึ่งมีลักษณะเหมือนผลลัพธ์ที่สร้างโดย AI

ข้อความบางส่วนมีการกล่าวถึง “ผู้ใช้” ซึ่งในบริบทนี้หมายถึงผู้พัฒนาที่ส่งคำสั่งให้ AI ช่วยเขียนหรือปรับปรุงโค้ด นอกจากนี้ยังพบคำเตือนด้านความปลอดภัยที่ AI ใส่มาพร้อมคำตอบ แต่ผู้พัฒนาไม่ได้ตรวจสอบและลบออกก่อนนำไฟล์ไปใช้งาน

แม้ AI จะช่วยสร้างโครงสร้างของบอตเน็ตได้หลายส่วน แต่ฟังก์ชันบางรายการกลับทำงานผิดพลาด ซึ่งแสดงให้เห็นว่าผู้พัฒนาอาจนำโค้ดที่สร้างขึ้นไปใช้งานโดยไม่ได้ตรวจสอบอย่างละเอียด

องค์ประกอบหลักของ TuxBot v3 Evolution

TuxBot v3 Evolution ไม่ได้เป็นเพียงมัลแวร์ไฟล์เดียว แต่ประกอบด้วยระบบย่อยหลายส่วนที่ทำงานร่วมกัน ได้แก่

  • โปรแกรม Bot Agent ที่เขียนด้วยภาษา C
  • เซิร์ฟเวอร์ Command-and-Control หรือ C2 ที่เขียนด้วยภาษา Go
  • แผงควบคุมสำหรับให้บริการโจมตี DDoS
  • ระบบ Exploit Virtual Machine สำหรับจัดการโค้ดเจาะช่องโหว่
  • ระบบทดสอบที่ทำงานผ่าน Docker
  • ระบบคอมไพล์และสร้างไฟล์มัลแวร์แบบอัตโนมัติ
  • เครื่องมือสแกนอุปกรณ์และบริการบนเครือข่าย
  • ระบบสื่อสารสำรองหลายรูปแบบ
  • โมดูลพร็อกซี SOCKS5
  • โมดูลสำหรับหยุดโปรเซสของมัลแวร์คู่แข่ง

โครงสร้างดังกล่าวช่วยให้ผู้พัฒนาสามารถเพิ่มช่องโหว่ วิธีการโจมตี หรือช่องทางติดต่อกับเซิร์ฟเวอร์ควบคุมได้โดยไม่ต้องสร้างระบบใหม่ทั้งหมด

รองรับอุปกรณ์หลายสถาปัตยกรรม

Bot Agent ของ TuxBot v3 Evolution ถูกออกแบบให้สามารถคอมไพล์ข้ามแพลตฟอร์ม เพื่อรองรับอุปกรณ์ IoT และเซิร์ฟเวอร์ที่ใช้หน่วยประมวลผลหลายสถาปัตยกรรม

สถาปัตยกรรมที่พบว่ารองรับประกอบด้วย

  • ARM
  • MIPS
  • MIPSEL
  • MIPS64
  • x86_64
  • PowerPC
  • RISC-V

ความสามารถในการรองรับหลายสถาปัตยกรรมช่วยเพิ่มโอกาสที่มัลแวร์จะสามารถทำงานบนเราเตอร์ กล้อง IP กล่อง Android และอุปกรณ์ IoT จากผู้ผลิตหลายรายได้

ใช้รหัสผ่านเกือบ 1,500 ชุดเพื่อโจมตี Telnet

TuxBot v3 Evolution มีโมดูลสำหรับโจมตีบริการ Telnet ด้วยวิธี Brute Force โดยใช้ชุดชื่อผู้ใช้และรหัสผ่านจำนวน 1,496 คู่

รหัสผ่านเหล่านี้จะถูกใช้ทดสอบกับอุปกรณ์ที่เปิด Telnet ไว้บนอินเทอร์เน็ต โดยเฉพาะอุปกรณ์ที่ยังใช้รหัสผ่านเริ่มต้นจากโรงงาน หรือใช้รหัสผ่านที่คาดเดาได้ง่าย

หากเข้าสู่ระบบสำเร็จ มัลแวร์จะพยายามดาวน์โหลดและติดตั้ง Bot Agent ลงในอุปกรณ์ ก่อนเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ C2 เพื่อรอรับคำสั่งจากผู้ควบคุม

มีโค้ดโจมตีอุปกรณ์ IoT มากกว่า 30 กลุ่ม

นอกเหนือจากการเดารหัสผ่าน Telnet แล้ว เฟรมเวิร์กนี้ยังรวมโค้ดที่วางแผนใช้โจมตีช่องโหว่ที่เป็นที่รู้จักในอุปกรณ์ IoT มากกว่า 30 กลุ่ม

เป้าหมายหลักคืออุปกรณ์ที่ไม่ได้อัปเดตเฟิร์มแวร์ หรือยังเปิดหน้าเว็บจัดการที่มีช่องโหว่อยู่บนอินเทอร์เน็ต

อย่างไรก็ตาม นักวิจัยพบว่าโมดูลเจาะช่องโหว่บางส่วนยังทำงานไม่สมบูรณ์ และระบบ Exploit Virtual Machine ในตัวอย่างที่ตรวจสอบยังไม่สามารถทำงานได้ตามที่ผู้พัฒนาออกแบบไว้ทั้งหมด

ช่องทางสื่อสารกับเซิร์ฟเวอร์ C2

TuxBot v3 Evolution ใช้ช่องทางสื่อสารหลักผ่าน TCP ที่เข้ารหัส และยังมีช่องทางสำรองหลายรูปแบบเพื่อช่วยให้บอตยังติดต่อกับผู้ควบคุมได้ แม้ช่องทางหลักจะถูกบล็อก

ช่องทางที่พบประกอบด้วย

  • การเชื่อมต่อ TCP แบบเข้ารหัส
  • Domain Generation Algorithm หรือ DGA ที่ใช้ SHA-512
  • ระบบ Peer-to-Peer หรือ P2P
  • คำสั่งที่ลงลายมือชื่อด้วย Ed25519
  • Internet Relay Chat หรือ IRC
  • DNS TXT Query
  • HTTP Polling

การมีช่องทางสำรองหลายระดับทำให้การตัดการเชื่อมต่อระหว่างบอตกับผู้ควบคุมทำได้ยากกว่าบอตเน็ตทั่วไปที่พึ่งพาเซิร์ฟเวอร์หรือโดเมนเพียงแห่งเดียว

พอร์ตที่เซิร์ฟเวอร์ TuxBot ใช้งาน

เซิร์ฟเวอร์ C2 ที่เขียนด้วยภาษา Go ใช้พอร์ต TCP หลักสามพอร์ตสำหรับงานที่แตกต่างกัน

TCP Port 1999 หรือ 31337

ใช้สำหรับรับการเชื่อมต่อจากอุปกรณ์ที่ติดมัลแวร์ และส่งคำสั่งแบบเข้ารหัสไปยังบอตที่กำลังออนไลน์

TCP Port 2222

ใช้เปิด Interactive Shell ผ่านโปรโตคอล SSH เพื่อให้ผู้ควบคุมสามารถเข้าสู่ระบบและจัดการเซิร์ฟเวอร์ได้

TCP Port 9999

ใช้เป็นอินเทอร์เฟซแบบ JSON สำหรับเชื่อมต่อกับโปรแกรมหรือระบบจัดการอื่นผ่าน API

ผู้ดูแลระบบสามารถนำข้อมูลพอร์ตเหล่านี้ไปใช้ประกอบการตรวจสอบบันทึกเครือข่ายได้ แต่ไม่ควรใช้เพียงหมายเลขพอร์ตเป็นตัวบ่งชี้การโจมตีเพียงอย่างเดียว เนื่องจากผู้โจมตีสามารถเปลี่ยนค่าได้

ขั้นตอนการทำงานหลังติดอุปกรณ์

เมื่อ TuxBot เริ่มทำงานบนอุปกรณ์ที่ถูกเจาะระบบ มัลแวร์จะดำเนินการตามลำดับที่กำหนดไว้ล่วงหน้า

ขั้นตอนสำคัญประกอบด้วย

  1. โหลดที่อยู่เซิร์ฟเวอร์ C2 จากระบบหลายระดับ
  2. ตรวจสอบว่ากำลังทำงานอยู่ในสภาพแวดล้อมวิเคราะห์หรือเครื่องเสมือนหรือไม่
  3. ตรวจหาเครื่องมือดีบักและโปรแกรมวิเคราะห์มัลแวร์
  4. เปลี่ยนหรือซ่อนชื่อโปรเซส
  5. ติดตั้งกลไก Persistence
  6. เชื่อมต่อกับเซิร์ฟเวอร์ C2
  7. เริ่มโมดูลสแกน Telnet, SSH, HTTP และ ADB
  8. ปิดโปรเซสที่เกี่ยวข้องกับมัลแวร์คู่แข่ง
  9. เปิดช่องทาง IRC, HTTP, DNS และ P2P สำรอง
  10. เริ่ม SOCKS5 Proxy
  11. เตรียมโมดูลสำหรับโจมตี DDoS
  12. เรียกใช้ส่วนที่เกี่ยวข้องกับการขุดคริปโทเคอร์เรนซี ซึ่งยังอยู่ในลักษณะ Placeholder

ระบบสแกน HTTP รองรับ 128 การเชื่อมต่อพร้อมกัน

โมดูล HTTP Scanner ของ TuxBot สามารถจัดการการเชื่อมต่อพร้อมกันได้สูงสุด 128 รายการ

หน้าที่หลักคือสแกนหาเว็บอินเทอร์เฟซของเราเตอร์ กล้องวงจรปิด และอุปกรณ์ IoT ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต จากนั้นตรวจสอบว่าเป้าหมายมีช่องโหว่หรือใช้การตั้งค่าที่ไม่ปลอดภัยหรือไม่

การสแกนแบบพร้อมกันจำนวนมากช่วยให้บอตเน็ตสามารถค้นหาอุปกรณ์เป้าหมายใหม่ได้อย่างรวดเร็ว และขยายจำนวนเครื่องในเครือข่ายได้โดยอัตโนมัติ

วิธีสร้าง Persistence บนระบบ Linux

เพื่อให้มัลแวร์ยังคงทำงานหลังรีสตาร์ตเครื่อง TuxBot ใช้วิธีติดตั้งตัวเองหลายรูปแบบ

  • สร้าง Systemd Service
  • เพิ่มคำสั่งลงใน Cron
  • เรียกใช้ Watchdog Process
  • ตรวจสอบและเปิดโปรเซสใหม่เมื่อมัลแวร์หยุดทำงาน

การใช้หลายกลไกพร้อมกันทำให้การลบมัลแวร์ออกจากระบบทำได้ยากขึ้น หากผู้ดูแลระบบลบเพียงไฟล์หลัก แต่ไม่ได้ตรวจสอบ Service, Cron Job และโปรเซสเฝ้าระวังทั้งหมด

มีต้นแบบจาก Mirai และเครื่องมือ DDoS อื่น

นักวิจัยพบว่าส่วนประกอบของ TuxBot v3 Evolution มีความเชื่อมโยงกับบอตเน็ตและเครื่องมือโจมตีหลายโครงการ

โค้ดบางส่วนมีต้นแบบหรือแนวทางจาก

  • Mirai
  • AISURU
  • Wuhan
  • MHDDoS
  • Kaitori v3.9

บางฟังก์ชันถูกย้ายมาจาก MHDDoS ซึ่งเป็นเครื่องมือ DDoS แบบโอเพนซอร์สที่พัฒนาด้วยภาษา Python ก่อนถูกนำมาปรับเป็นส่วนหนึ่งของเฟรมเวิร์กใหม่

นักวิจัยยังพบโครงสร้างพื้นฐานที่ใช้ร่วมกับ Kaitori v3.9 และเครื่องมือของ AISURU ซึ่งเชื่อมโยงผู้ควบคุม TuxBot เข้ากับกลุ่มหรือระบบนิเวศ Keksec ที่มีประวัติดำเนินบอตเน็ต IoT หลายสายพันธุ์พร้อมกัน

พบตัวอย่างบน VirusTotal ตั้งแต่เดือนมกราคม 2026

มีการอัปโหลดตัวอย่างมัลแวร์อย่างน้อยหนึ่งรายการไปยังแพลตฟอร์ม VirusTotal เมื่อวันที่ 20 มกราคม 2026 แสดงให้เห็นว่า TuxBot v3 Evolution ถูกพัฒนาและเผยแพร่มาระยะหนึ่งแล้วก่อนที่รายละเอียดจะถูกเปิดเผยต่อสาธารณะ

หลักฐานเพิ่มเติมระบุว่าผู้พัฒนาเริ่มดำเนินงานเกี่ยวกับโครงการนี้ก่อนหน้านั้นประมาณหนึ่งปี โดยเริ่มจากการคัดลอกคลังโค้ด MHDDoS บน GitHub แล้วนำมาปรับปรุงต่อ

นักวิจัยระบุว่าอาจมี TuxBot เวอร์ชันที่ได้รับการแก้ไขและทำงานได้สมบูรณ์กว่าตัวอย่างที่ตรวจพบ เนื่องจากข้อผิดพลาดหลายจุดสามารถแก้ไขได้ด้วยการตรวจสอบโค้ดแบบพื้นฐาน

ความเสี่ยงจากการใช้ AI พัฒนามัลแวร์

กรณีของ TuxBot v3 Evolution แสดงให้เห็นว่า AI สามารถช่วยลดเวลาในการสร้างเครื่องมือโจมตีที่มีองค์ประกอบจำนวนมากได้ แม้ผู้พัฒนาจะไม่ได้มีทีมขนาดใหญ่

ความเสี่ยงสำคัญไม่ได้อยู่ที่ AI สามารถสร้างมัลแวร์ที่สมบูรณ์ได้ทันที แต่เป็นการช่วยให้ผู้โจมตีสามารถ

  • เขียนโค้ดได้รวดเร็วขึ้น
  • ย้ายฟังก์ชันระหว่างภาษาโปรแกรม
  • สร้างระบบควบคุมและ API
  • เพิ่มโมดูลสแกนเครือข่าย
  • สร้างระบบคอมไพล์หลายสถาปัตยกรรม
  • ออกแบบแผงควบคุมสำหรับผู้ใช้งานหลายคน
  • นำโค้ดจากโครงการเดิมมาประกอบเป็นเครื่องมือใหม่

ในขณะเดียวกัน ข้อผิดพลาดและข้อความจาก AI ที่หลงเหลืออยู่ในไฟล์ก็แสดงให้เห็นว่าการพึ่งพาโค้ดที่สร้างโดย AI โดยไม่มีการตรวจสอบ สามารถสร้างปัญหาด้านเสถียรภาพและความปลอดภัยให้กับผู้พัฒนาเองได้เช่นกัน

วิธีป้องกันอุปกรณ์ IoT จาก TuxBot และบอตเน็ตประเภทเดียวกัน

องค์กรและผู้ใช้งานควรตรวจสอบอุปกรณ์ IoT ที่เชื่อมต่ออินเทอร์เน็ตอย่างสม่ำเสมอ โดยเฉพาะอุปกรณ์ที่ไม่ได้รับการอัปเดตเป็นเวลานาน

แนวทางป้องกันที่ควรดำเนินการ ได้แก่

  • เปลี่ยนชื่อผู้ใช้และรหัสผ่านเริ่มต้นทันที
  • หลีกเลี่ยงการใช้รหัสผ่านซ้ำกับระบบอื่น
  • ปิด Telnet และใช้ SSH เมื่อจำเป็น
  • จำกัดการเข้าถึง SSH ด้วย Firewall หรือ VPN
  • ปิด ADB บนอุปกรณ์ Android ที่ไม่จำเป็นต้องใช้งาน
  • ไม่เปิดหน้าเว็บจัดการอุปกรณ์ให้เข้าถึงจากอินเทอร์เน็ตโดยตรง
  • อัปเดตเฟิร์มแวร์จากผู้ผลิตอย่างสม่ำเสมอ
  • แยกเครือข่าย IoT ออกจากระบบงานสำคัญ
  • ตรวจสอบ DNS TXT Query และการเชื่อมต่อ IRC ที่ผิดปกติ
  • ตรวจสอบ Systemd Service และ Cron Job ที่ไม่รู้จัก
  • เฝ้าระวังการสแกนพอร์ตจำนวนมากจากอุปกรณ์ภายใน
  • ตรวจสอบการใช้งาน CPU และแบนด์วิดท์ที่เพิ่มขึ้นผิดปกติ
  • ลบหรือเปลี่ยนอุปกรณ์ที่สิ้นสุดระยะเวลาการสนับสนุนแล้ว

บอตเน็ต IoT ยังเป็นภัยคุกคามที่ต้องเฝ้าระวัง

การเปิดเผย TuxBot v3 Evolution เกิดขึ้นในช่วงเดียวกับที่มีการตรวจพบบอตเน็ตอื่น เช่น RustDuck และ AryStinger ซึ่งมุ่งโจมตีเราเตอร์ กล้อง IP กล่อง Android และเซิร์ฟเวอร์ที่มีการรักษาความปลอดภัยไม่เพียงพอ

อุปกรณ์ที่ถูกยึดครองสามารถถูกนำไปใช้โจมตีบริการออนไลน์ ทำให้เว็บไซต์หรือระบบไม่สามารถให้บริการได้ รวมถึงใช้เป็นจุดเริ่มต้นในการสำรวจเครือข่ายของเป้าหมายเพิ่มเติม

แม้ TuxBot v3 Evolution ในตัวอย่างที่ตรวจสอบจะยังอยู่ระหว่างการพัฒนา แต่ฟังก์ชันหลักหลายส่วนสามารถทำงานได้แล้ว ประกอบกับการใช้ AI ช่วยสร้างโค้ด ทำให้ผู้โจมตีสามารถเพิ่มความสามารถและสร้างบอตเน็ตที่ซับซ้อนได้รวดเร็วกว่าเดิม

สรุป

TuxBot v3 Evolution เป็นบอตเน็ต IoT แบบแยกส่วนที่รวมความสามารถด้านการเดารหัสผ่าน การโจมตีช่องโหว่ การสแกนเครือข่าย การโจมตี DDoS การเปิดพร็อกซี และการสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่านหลายช่องทางไว้ในระบบเดียว

หลักฐานภายในซอร์สโค้ดแสดงให้เห็นว่าผู้พัฒนาใช้ AI ช่วยเขียนและปรับย้ายโค้ดหลายส่วน แม้ผลลัพธ์บางรายการจะยังมีข้อผิดพลาดและมีข้อความจาก AI หลงเหลืออยู่ก็ตาม

เหตุการณ์นี้สะท้อนให้เห็นว่าภัยคุกคามจากบอตเน็ต IoT กำลังพัฒนาไปสู่ระบบที่มีความซับซ้อนและสร้างได้รวดเร็วขึ้น องค์กรจึงควรเร่งตรวจสอบอุปกรณ์ IoT ปิดบริการที่ไม่จำเป็น อัปเดตเฟิร์มแวร์ และจำกัดการเข้าถึงอุปกรณ์จากอินเทอร์เน็ต เพื่อลดโอกาสถูกนำไปใช้เป็นส่วนหนึ่งของเครือข่ายบอตเน็ต

ที่มา thehackernews

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *