AVrecon ボットネット マルウェアが数千台の Linux ルーターを攻撃

AVrecon は、2021 年 5 月から重大な問題を引き起こしている Linux ベースのマルウェアです。70,000 台を超える小規模オフィス/ホーム オフィス (SOHO) ルーターに感染し、帯域幅を盗み、隠れた住宅用プロキシ サービスを操作することを目的としたボットネットを作成しました。 AVrecon の運営者は、ボットネットの機能を利用して、デジタル広告詐欺からパスワード スプレーに至るまで、さまざまな悪意のある活動を行っています。

Lumen の Black Lotus Labs 脅威研究チームは、AVrecon の活動を注意深く監視してきました。彼らは、リモート アクセス トロイの木馬 (RAT) が 70,000 台以上のデバイスを侵害したにもかかわらず、ボットネットに追加されるのに成功したのは 40,000 台のみであることを発見しました。 AVrecon は、2021 年 5 月に最初に特定されて以来、特に Netgear ルーターをターゲットとして、検出されないままであるという驚くべき能力を実証してきました。 2 年以上検出を回避することに成功し、その影響力は着実に拡大し、最近では SOHO ルーターに焦点を当てた最も重要なボットネットの 1 つになりました。

AVrecon ボットネット マルウェアの危険性について専門家はどう考えているか

Black Lotus Labs の専門家は、AVrecon の背後にある攻撃者が、ユーザーが既知の脆弱性と露出 (CVE) に対してパッチを適用する可能性が低い SOHO デバイスを意図的にターゲットにしたのではないかと疑っています。運営者たちは当面の金銭的利益を追求する代わりに、忍耐強いアプローチを採用し、長期間にわたって秘密裏に活動することを可能にしました。このマルウェアの秘密の性質により、感染したマシンの所有者はサービスの中断や帯域幅の損失にほとんど気づきません。

ルーターが AVrecon に感染すると、マルウェアは侵入したデバイスの情報をそのルーターに組み込まれたコマンド アンド コントロール (C2) サーバーに送信します。サーバーは、ハッキングされたルーターに対し、第 2 段階 C2 サーバーとして知られる別のサーバー グループとの通信を確立するように指示します。研究者らは、x.509 証明書情報に基づいて、少なくとも 2021 年 10 月から稼働しているこのような第 2 段階の制御サーバーを 15 台特定しました。

AVrecon の脅威に対応して、Lumen の Black Lotus セキュリティ チームは、バックボーン ネットワーク全体でボットネットの C2 サーバーをヌル ルーティングするという措置を講じました。このアクションにより、悪意のあるボットネットとその中央制御サーバー間の接続が効果的に切断され、有害な活動を実行する能力が大幅に妨げられました。 AVrecon が採用した暗号化により、研究者らはパスワード スプレーの試みの成功に関する具体的な詳細を提供することはできませんでしたが、C2 ノードをヌル ルーティングし、プロキシ サーバーを経由するトラフィックをブロックしたため、ボットネットは Lumen バックボーン全体で不活性になりました。

AVrecon ボットネット マルウェアの暗い見通し

この脅威の深刻さを認識し、サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は拘束力のある運用指令 (BOD) を発行し、潜在的な侵害を防ぐために、SOHO ルーターを含むインターネットに露出したネットワーク機器を発見から 14 日以内に保護するよう米国連邦政府機関に指示しました。 CISAが警告しているように、このようなデバイスに侵入すると、攻撃者はハッキングされたルーターを攻撃インフラに組み込む機会を与えられ、内部ネットワークへの水平移動の発射台として機能することになる。

AVrecon によってもたらされる危険は、通常、SOHO ルーターが従来のセキュリティ境界の外側に存在し、防御側が悪意のあるアクティビティを検出することが困難であるという事実に起因しています。この手口は、ボルト タイフーンとして知られる中国のサイバースパイ集団が採用した戦術を反映しています。彼らは同様の手法を使用して、ASUS、Cisco、D-Link、Netgear、FatPipe、Zyxel の侵害された SOHO ネットワーク機器を使用して秘密のプロキシ ネットワークを作成しました。この秘密プロキシ ネットワークは、少なくとも 2021 年半ば以降、米国の重要インフラ組織を標的にしながら、正規のネットワーク トラフィック内で悪意のあるアクティビティを隠蔽するために使用されていました。

Zane
July 14, 2023
マルウェア
日本語
July 14, 2023
マルウェア

人気の投稿

OperaGXSetup.exe ファイルとは何ですか? 悪意のあるものですか?

11 months年前

Eporner.comとその過剰なポップアップが危険な理由

12 days年前

注意してください: 誰かがあなたをリカバリメール詐欺に追加しました

10 months年前

HackTool:Win32/Crack: システムに深刻なダメージを与える可能性のある悪意のある脅威

7 months年前

潜在的に深刻な脅威: Trojan:Win32/Suschil!rfn

19 days年前

Packunwan トロイの木馬の脅威とは何か、そしてそれがコンピュータにどのような影響を与えるか

11 months年前
日本語
読み込み中...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。