AVrecon Botnet Malware attackerar tusentals Linux-routrar

AVrecon är en Linux-baserad skadlig programvara som har orsakat betydande problem sedan maj 2021. Den har infekterat över 70 000 routrar för små kontor/hemmakontor (SOHO) och skapat ett botnät i syfte att stjäla bandbredd och driva en dold proxytjänst för bostäder. Operatörerna av AVrecon har använt olika skadliga aktiviteter, allt från digitala reklambedrägerier till lösenordssprayning, och utnyttjat botnätets möjligheter.

Black Lotus Labs hotforskningsteam på Lumen har noga övervakat AVrecons aktiviteter. De upptäckte att trots att fjärråtkomsttrojanen (RAT) äventyrade över 70 000 enheter, lades endast 40 000 till botnätet. AVrecon har visat en anmärkningsvärd förmåga att förbli oupptäckt sedan den första identifieringen i maj 2021, specifikt inriktad på Netgear-routrar. Det lyckades undvika upptäckt i över två år, utökade stadigt sitt inflytande och blev ett av de mest betydande botnäten fokuserade på SOHO-routrar på senare tid.

Vad experter tycker om farorna med AVrecon Botnet Malware

Experterna på Black Lotus Labs misstänker att hotaktörerna bakom AVrecon avsiktligt riktade in sig på SOHO-enheter som användare skulle vara mindre benägna att korrigera mot kända sårbarheter och exponeringar (CVE). Istället för att eftersträva omedelbar ekonomisk vinst, antog operatörerna ett tålmodigt tillvägagångssätt, så att de kunde operera i hemlighet under en längre period. På grund av skadlig programvaras hemliga natur märker ägare av infekterade maskiner sällan några avbrott i tjänsten eller förlust av bandbredd.

När en router väl blir infekterad med AVrecon, överför skadlig programvara den komprometterade enhetens information till en kommando-och-kontroll-server (C2) inbäddad i den. Servern instruerar den hackade routern att upprätta kommunikation med en separat grupp servrar som kallas andra steg C2-servrar. Forskare har identifierat 15 sådana andrastegskontrollservrar, som har varit i drift sedan åtminstone oktober 2021 baserat på x.509-certifikatinformation.

Som svar på AVrecon-hotet vidtog Black Lotus-säkerhetsteamet på Lumen åtgärder genom att null-routa botnätets C2-server över deras stamnätverk. Denna åtgärd bröt effektivt kopplingen mellan det skadliga botnätet och dess centrala kontrollserver, vilket avsevärt hindrade dess förmåga att utföra skadliga aktiviteter. Krypteringen som användes av AVrecon hindrade forskarna från att ge specifika detaljer om framgången med lösenordssprayförsök, men noll-routing av C2-noderna och blockering av trafik genom proxyservrarna gjorde botnätet inert över Lumen-ryggraden.

Den dystra utsikten för AVrecon Botnet Malware

Cybersecurity and Infrastructure Security Agency (CISA) insåg allvaret av detta hot och utfärdade ett bindande operationell direktiv (BOD) som instruerade amerikanska federala myndigheter att säkra Internet-exponerad nätverksutrustning, inklusive SOHO-routrar, inom 14 dagar efter upptäckten för att förhindra potentiella intrång. Att kompromissa med sådana enheter skulle ge hotaktörer en möjlighet att införliva de hackade routrarna i deras attackinfrastruktur, vilket skulle fungera som en startplatta för lateral förflyttning till interna nätverk, som CISA varnade.

Faran som AVrecon utgör härrör från det faktum att SOHO-routrar vanligtvis existerar utanför den konventionella säkerhetsperimetern, vilket gör det utmanande för försvarare att upptäcka skadliga aktiviteter. Detta tillvägagångssätt speglar taktiken som används av den kinesiska cyberspionagegruppen känd som Volt Typhoon. De använde liknande tekniker för att skapa ett hemligt proxynätverk med komprometterad SOHO-nätverksutrustning från ASUS, Cisco, D-Link, Netgear, FatPipe och Zyxel. Det hemliga proxynätverket har använts för att dölja skadliga aktiviteter inom legitim nätverkstrafik samtidigt som det riktade in sig på kritiska infrastrukturorganisationer i USA sedan åtminstone mitten av 2021.