AVrecon Botnet-malware valt duizenden Linux-routers aan

AVrecon is een op Linux gebaseerde malware die sinds mei 2021 aanzienlijke problemen veroorzaakt. Het heeft meer dan 70.000 small office/home office (SOHO)-routers geïnfecteerd, waardoor een botnet is ontstaan met als doel bandbreedte te stelen en een verborgen residentiële proxyservice te exploiteren. De exploitanten van AVrecon hebben verschillende kwaadaardige activiteiten uitgevoerd, variërend van digitale advertentiefraude tot wachtwoordspray, waarbij ze misbruik maakten van de mogelijkheden van het botnet.

Het bedreigingsonderzoeksteam van Black Lotus Labs in Lumen volgt de activiteiten van AVrecon nauwlettend. Ze ontdekten dat hoewel de trojan voor externe toegang (RAT) meer dan 70.000 apparaten in gevaar bracht, er slechts 40.000 met succes aan het botnet werden toegevoegd. AVrecon heeft een opmerkelijk vermogen getoond om onopgemerkt te blijven sinds de eerste identificatie in mei 2021, met name gericht op Netgear-routers. Het slaagde erin om detectie gedurende meer dan twee jaar te vermijden, breidde zijn invloed gestaag uit en werd een van de belangrijkste botnets die zich de laatste tijd op SOHO-routers richtten.

Wat experts denken over de gevaren van AVrecon Botnet-malware

De experts van Black Lotus Labs vermoeden dat de dreigingsactoren achter AVrecon opzettelijk gericht zijn op SOHO-apparaten die gebruikers minder snel zullen patchen tegen bekende kwetsbaarheden en blootstellingen (CVE's). In plaats van direct financieel gewin na te streven, kozen de operators voor een geduldige aanpak, waardoor ze gedurende een langere periode in het geheim konden opereren. Vanwege het clandestiene karakter van de malware merken eigenaren van geïnfecteerde machines zelden onderbrekingen in de service of verlies van bandbreedte op.

Zodra een router geïnfecteerd raakt met AVrecon, verzendt de malware de informatie van het gecompromitteerde apparaat naar een ingebouwde command-and-control (C2)-server. De server instrueert de gehackte router om communicatie tot stand te brengen met een aparte groep servers die bekend staat als tweede-traps C2-servers. Onderzoekers hebben op basis van x.509-certificaatinformatie 15 van dergelijke besturingsservers in de tweede fase geïdentificeerd, die sinds ten minste oktober 2021 operationeel zijn.

Als reactie op de AVrecon-dreiging ondernam het Black Lotus-beveiligingsteam van Lumen actie door de C2-server van het botnet null te routeren over hun backbone-netwerk. Deze actie verbrak effectief de verbinding tussen het kwaadwillende botnet en zijn centrale controleserver, waardoor zijn vermogen om schadelijke activiteiten uit te voeren aanzienlijk werd belemmerd. De versleuteling die door AVrecon werd gebruikt, verhinderde de onderzoekers om specifieke details te geven over het succes van pogingen om wachtwoorden te sproeien, maar door de C2-knooppunten null te routeren en verkeer via de proxyservers te blokkeren, werd het botnet inert gemaakt over de Lumen-backbone.

De sombere vooruitzichten van AVrecon Botnet-malware

De Cybersecurity and Infrastructure Security Agency (CISA) erkende de ernst van deze dreiging en heeft een bindende operationele richtlijn (BOD) uitgevaardigd die de Amerikaanse federale agentschappen instrueert om netwerkapparatuur die aan internet is blootgesteld, inclusief SOHO-routers, binnen 14 dagen na ontdekking te beveiligen om mogelijke inbreuken te voorkomen. Het compromitteren van dergelijke apparaten zou bedreigingsactoren de mogelijkheid bieden om de gehackte routers in hun aanvalsinfrastructuur op te nemen en als een lanceerplatform te dienen voor laterale verplaatsing naar interne netwerken, zoals gewaarschuwd door CISA.

Het gevaar van AVrecon komt voort uit het feit dat SOHO-routers doorgaans buiten de conventionele beveiligingsperimeter staan, waardoor het voor verdedigers een uitdaging wordt om kwaadaardige activiteiten te detecteren. Deze modus operandi weerspiegelt de tactiek van de Chinese cyberspionagegroep Volt Typhoon. Ze gebruikten vergelijkbare technieken om een geheim proxy-netwerk te creëren met behulp van gecompromitteerde SOHO-netwerkapparatuur van ASUS, Cisco, D-Link, Netgear, FatPipe en Zyxel. Het geheime proxy-netwerk werd gebruikt om kwaadaardige activiteiten binnen legitiem netwerkverkeer te verbergen en was gericht op kritieke infrastructuurorganisaties in de Verenigde Staten sinds ten minste medio 2021.

Tegen Zane
July 14, 2023
Malware
Nederlands
July 14, 2023
Malware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.