AVrecon 僵尸网络恶意软件攻击数千个 Linux 路由器

AVrecon 是一种基于 Linux 的恶意软件，自 2021 年 5 月以来一直造成严重麻烦。它已感染了 70,000 多个小型办公室/家庭办公室 (SOHO) 路由器，创建了一个僵尸网络，目的是窃取带宽并运行隐藏的住宅代理服务。 AVrecon 的运营商利用僵尸网络的功能，实施了各种恶意活动，从数字广告欺诈到密码喷射。

Lumen 的 Black Lotus Labs 威胁研究团队一直在密切监视 AVrecon 的活动。他们发现，尽管远程访问木马 (RAT) 危害了 70,000 多台设备，但只有 40,000 台设备成功添加到僵尸网络。自 2021 年 5 月首次识别以来，AVrecon 已展现出卓越的不被发现能力，特别针对 Netgear 路由器。它成功地躲过了两年多的检测，影响力稳步扩大，成为近年来针对 SOHO 路由器的最重要的僵尸网络之一。

专家如何看待 AVrecon 僵尸网络恶意软件的危险

Black Lotus Labs 的专家怀疑 AVrecon 背后的威胁行为者故意针对 SOHO 设备，而用户不太可能针对已知漏洞和暴露 (CVE) 进行修补。经营者没有追求眼前的经济利益，而是采取了耐心的态度，允许他们在较长时间内秘密经营。由于恶意软件的秘密性质，受感染机器的所有者很少注意到任何服务中断或带宽损失。

一旦路由器感染 AVrecon，恶意软件就会将受感染设备的信息传输到嵌入其中的命令和控制 (C2) 服务器。服务器指示被黑客入侵的路由器与一组单独的服务器（称为第二阶段 C2 服务器）建立通信。研究人员已识别出 15 个此类第二阶段控制服务器，这些服务器至少自 2021 年 10 月起就根据 x.509 证书信息开始运行。

为了应对 AVrecon 威胁，Lumen 的 Black Lotus 安全团队采取了行动，通过主干网络对僵尸网络的 C2 服务器进行空路由。这一行动有效地切断了恶意僵尸网络与其中央控制服务器之间的连接，极大地阻碍了其进行有害活动的能力。 AVrecon 采用的加密技术使研究人员无法提供密码喷射尝试成功的具体细节，但对 C2 节点进行空路由并阻止通过代理服务器的流量使僵尸网络在 Lumen 主干网中变得惰性。

AVrecon 僵尸网络恶意软件前景黯淡

认识到这一威胁的严重性后，网络安全和基础设施安全局 (CISA) 发布了一项具有约束力的操作指令 (BOD)，指示美国联邦机构在发现后 14 天内保护暴露于互联网的网络设备（包括 SOHO 路由器），以防止潜在的漏洞。正如 CISA 所警告的那样，破坏此类设备将为威胁行为者提供将被黑客入侵的路由器纳入其攻击基础设施的机会，从而充当横向移动到内部网络的启动板。

AVrecon 带来的危险源于 SOHO 路由器通常存在于传统安全边界之外的事实，这使得防御者很难检测到恶意活动。这种作案手法与中国网络间谍组织 Volt Typhoon 所采用的策略如出一辙。他们使用类似的技术，利用来自华硕、思科、D-Link、Netgear、FatPipe 和 Zyxel 的受损 SOHO 网络设备创建隐蔽代理网络。至少自 2021 年中期以来，该隐蔽代理网络被用来隐藏合法网络流量中的恶意活动，同时针对美国的关键基础设施组织。