AVrecon Botnet Malware angriper tusenvis av Linux-rutere

AVrecon er en Linux-basert skadelig programvare som har skapt betydelige problemer siden mai 2021. Den har infisert over 70 000 små kontor/hjemmekontor (SOHO)-rutere, opprettet et botnett med det formål å stjele båndbredde og drive en skjult proxy-tjeneste for boliger. Operatørene av AVrecon har brukt ulike ondsinnede aktiviteter, alt fra digital reklamesvindel til passordspraying, og utnyttet botnettets muligheter.

Black Lotus Labs trusselforskningsteam ved Lumen har fulgt nøye med på AVrecons aktiviteter. De oppdaget at selv om fjerntilgangstrojanen (RAT) kompromitterte over 70 000 enheter, ble bare 40 000 lagt til botnettet. AVrecon har demonstrert en bemerkelsesverdig evne til å forbli uoppdaget siden den første identifiseringen i mai 2021, spesielt rettet mot Netgear-rutere. Den klarte å unngå gjenkjenning i over to år, og utvidet stadig sin innflytelse og ble et av de mest betydningsfulle botnettene fokusert på SOHO-rutere i nyere tid.

Hva eksperter mener om farene ved AVrecon Botnet Malware

Ekspertene ved Black Lotus Labs mistenker at trusselaktørene bak AVrecon med vilje siktet mot SOHO-enheter som brukere ville ha mindre sannsynlighet for å lappe mot kjente sårbarheter og eksponeringer (CVE). I stedet for å søke umiddelbar økonomisk gevinst, tok operatørene i bruk en pasienttilnærming, slik at de kunne operere skjult i en lengre periode. På grunn av skadelig programvares hemmelige natur, merker eiere av infiserte maskiner sjelden noen forstyrrelser i tjenesten eller tap av båndbredde.

Når en ruter blir infisert med AVrecon, overfører skadelig programvare den kompromitterte enhetens informasjon til en kommando-og-kontroll-server (C2) innebygd i den. Serveren instruerer den hackede ruteren om å etablere kommunikasjon med en egen gruppe servere kjent som andre trinns C2-servere. Forskere har identifisert 15 slike andre trinns kontrollservere, som har vært operative siden minst oktober 2021 basert på x.509-sertifikatinformasjon.

Som svar på AVrecon-trusselen tok Black Lotus-sikkerhetsteamet på Lumen grep ved å null-rute botnettets C2-server over deres ryggradsnettverk. Denne handlingen kuttet effektivt forbindelsen mellom det ondsinnede botnettet og dets sentrale kontrollserver, noe som i betydelig grad hindret dets evne til å utføre skadelige aktiviteter. Krypteringen som ble brukt av AVrecon forhindret forskerne i å gi spesifikke detaljer om suksessen med passordsprayingsforsøk, men null-ruting av C2-nodene og blokkering av trafikk gjennom proxy-servere gjorde botnettet inert over Lumen-ryggraden.

Den dystre utsikten til AVrecon Botnet Malware

I erkjennelse av alvorlighetsgraden av denne trusselen, utstedte Cybersecurity and Infrastructure Security Agency (CISA) et bindende driftsdirektiv (BOD) som instruerte amerikanske føderale byråer om å sikre Internett-eksponert nettverksutstyr, inkludert SOHO-rutere, innen 14 dager etter oppdagelse for å forhindre potensielle brudd. Å kompromittere slike enheter vil gi trusselaktører en mulighet til å innlemme de hackede ruterne i angrepsinfrastrukturen deres, og tjene som en startrampe for sideveis bevegelse inn i interne nettverk, som advart av CISA.

Faren som AVrecon utgjør, stammer fra det faktum at SOHO-rutere vanligvis eksisterer utenfor den konvensjonelle sikkerhetsperimeteren, noe som gjør det utfordrende for forsvarere å oppdage ondsinnede aktiviteter. Denne modusen operandi gjenspeiler taktikken brukt av den kinesiske nettspiongruppen kjent som Volt Typhoon. De brukte lignende teknikker for å lage et skjult proxy-nettverk ved å bruke kompromittert SOHO-nettverksutstyr fra ASUS, Cisco, D-Link, Netgear, FatPipe og Zyxel. Det skjulte proxy-nettverket ble brukt til å skjule ondsinnede aktiviteter innenfor legitim nettverkstrafikk mens de var målrettet mot kritiske infrastrukturorganisasjoner i USA siden minst midten av 2021.