AVrecon Botnet Malware angriber tusindvis af Linux-routere

AVrecon er en Linux-baseret malware, der har forårsaget betydelige problemer siden maj 2021. Den har inficeret over 70.000 small office/home office (SOHO)-routere, der har skabt et botnet med det formål at stjæle båndbredde og drive en skjult proxy-tjeneste til boliger. Operatørerne af AVrecon har brugt forskellige ondsindede aktiviteter, lige fra digital reklamesvindel til spraying af adgangskoder, og udnyttet botnettets muligheder.

Black Lotus Labs trusselsforsker i Lumen har nøje overvåget AVrecons aktiviteter. De opdagede, at selvom fjernadgangstrojanen (RAT) kompromitterede over 70.000 enheder, blev kun 40.000 tilføjet til botnettet. AVrecon har demonstreret en bemærkelsesværdig evne til at forblive uopdaget siden dens første identifikation i maj 2021, specifikt målrettet mod Netgear-routere. Det formåede at undgå opdagelse i over to år, udvidede støt sin indflydelse og blev et af de mest betydningsfulde botnets med fokus på SOHO-routere i nyere tid.

Hvad eksperter mener om farerne ved AVrecon Botnet Malware

Eksperterne hos Black Lotus Labs har mistanke om, at trusselsaktørerne bag AVrecon bevidst målrettede SOHO-enheder, som brugerne ville være mindre tilbøjelige til at lappe mod kendte sårbarheder og eksponeringer (CVE'er). I stedet for at stræbe efter øjeblikkelig økonomisk gevinst, tog operatørerne en patienttilgang, der tillod dem at operere skjult i en længere periode. På grund af malwarens hemmelige natur bemærker ejere af inficerede maskiner sjældent nogen forstyrrelser i tjenesten eller tab af båndbredde.

Når en router bliver inficeret med AVrecon, sender malwaren den kompromitterede enheds information til en kommando-og-kontrol-server (C2) indlejret i den. Serveren instruerer den hackede router om at etablere kommunikation med en separat gruppe af servere kendt som anden-trins C2-servere. Forskere har identificeret 15 sådanne anden-trins kontrolservere, som har været operationelle siden mindst oktober 2021 baseret på x.509-certifikatoplysninger.

Som svar på AVrecon-truslen tog Black Lotus-sikkerhedsteamet i Lumen handling ved at nulstille botnet's C2-server på tværs af deres backbone-netværk. Denne handling afbrød effektivt forbindelsen mellem det ondsindede botnet og dets centrale kontrolserver, hvilket væsentligt hæmmede dets evne til at udføre skadelige aktiviteter. Krypteringen anvendt af AVrecon forhindrede forskerne i at give specifikke detaljer om succesen med adgangskodesprayforsøg, men nul-routning af C2-knuderne og blokering af trafik gennem proxy-serverne gjorde botnettet inert på tværs af Lumen-rygraden.

AVrecon Botnet Malwares dystre udsigter

I erkendelse af alvoren af denne trussel udstedte Cybersecurity and Infrastructure Security Agency (CISA) et bindende operationelt direktiv (BOD), der instruerede amerikanske føderale agenturer om at sikre interneteksponeret netværksudstyr, herunder SOHO-routere, inden for 14 dage efter opdagelsen for at forhindre potentielle brud. At kompromittere sådanne enheder ville give trusselsaktører en mulighed for at inkorporere de hackede routere i deres angrebsinfrastruktur, og tjene som affyringsrampe for lateral bevægelse ind i interne netværk, som advaret af CISA.

Faren fra AVrecon stammer fra det faktum, at SOHO-routere typisk eksisterer uden for den konventionelle sikkerhedsperimeter, hvilket gør det udfordrende for forsvarere at opdage ondsindede aktiviteter. Denne modus operandi afspejler den taktik, der anvendes af den kinesiske cyberspionagegruppe kendt som Volt Typhoon. De brugte lignende teknikker til at skabe et skjult proxy-netværk ved hjælp af kompromitteret SOHO-netværksudstyr fra ASUS, Cisco, D-Link, Netgear, FatPipe og Zyxel. Det skjulte proxy-netværk blev brugt til at skjule ondsindede aktiviteter inden for legitim netværkstrafik, mens det var målrettet mod kritiske infrastrukturorganisationer i USA siden mindst midten af 2021.