AVrecon 殭屍網絡惡意軟件攻擊數千個 Linux 路由器

AVrecon 是一種基於 Linux 的惡意軟件，自 2021 年 5 月以來一直造成嚴重麻煩。它已感染了 70,000 多個小型辦公室/家庭辦公室 (SOHO) 路由器，創建了一個殭屍網絡，目的是竊取帶寬並運行隱藏的住宅代理服務。 AVrecon 的運營商利用殭屍網絡的功能，實施了各種惡意活動，從數字廣告欺詐到密碼噴射。

Lumen 的 Black Lotus Labs 威脅研究團隊一直在密切監視 AVrecon 的活動。他們發現，儘管遠程訪問木馬 (RAT) 危害了 70,000 多台設備，但只有 40,000 台設備成功添加到殭屍網絡。自 2021 年 5 月首次識別以來，AVrecon 已展現出卓越的不被發現能力，特別針對 Netgear 路由器。它成功地躲過了兩年多的檢測，影響力穩步擴大，成為近年來針對 SOHO 路由器的最重要的殭屍網絡之一。

專家如何看待 AVrecon 殭屍網絡惡意軟件的危險

Black Lotus Labs 的專家懷疑 AVrecon 背後的威脅行為者故意針對 SOHO 設備，而用戶不太可能針對已知漏洞和暴露 (CVE) 進行修補。經營者沒有追求立即的經濟利益，而是採取了耐心的態度，允許他們在較長時間內秘密經營。由於惡意軟件的秘密性質，受感染機器的所有者很少注意到任何服務中斷或帶寬損失。

一旦路由器感染 AVrecon，惡意軟件就會將受感染設備的信息傳輸到嵌入其中的命令和控制 (C2) 服務器。服務器指示被黑客入侵的路由器與一組單獨的服務器（稱為第二階段 C2 服務器）建立通信。研究人員已識別出 15 個此類第二階段控制服務器，這些服務器至少自 2021 年 10 月起就根據 x.509 證書信息開始運行。

為了應對 AVrecon 威脅，Lumen 的 Black Lotus 安全團隊採取了行動，通過主幹網絡對殭屍網絡的 C2 服務器進行空路由。這一行動有效地切斷了惡意殭屍網絡與其中央控制服務器之間的連接，極大地阻礙了其進行有害活動的能力。 AVrecon 採用的加密技術使研究人員無法提供密碼噴射嘗試成功的具體細節，但對 C2 節點進行空路由並阻止通過代理服務器的流量使殭屍網絡在 Lumen 主幹網中變得惰性。

AVrecon 殭屍網絡惡意軟件前景黯淡

認識到這一威脅的嚴重性後，網絡安全和基礎設施安全局 (CISA) 發布了一項具有約束力的操作指令 (BOD)，指示美國聯邦機構在發現後 14 天內保護暴露於互聯網的網絡設備（包括 SOHO 路由器），以防止潛在的漏洞。正如 CISA 所警告的那樣，破壞此類設備將為威脅行為者提供將被黑客入侵的路由器納入其攻擊基礎設施的機會，從而充當橫向移動到內部網絡的啟動板。

AVrecon 帶來的危險源於 SOHO 路由器通常存在於傳統安全邊界之外的事實，這使得防御者很難檢測到惡意活動。這種作案手法與中國網絡間諜組織 Volt Typhoon 所採用的策略如出一轍。他們使用類似的技術，使用來自華碩、思科、D-Link、Netgear、FatPipe 和 Zyxel 的受損 SOHO 網絡設備創建隱蔽代理網絡。至少自 2021 年中期以來，該隱蔽代理網絡被用來隱藏合法網絡流量中的惡意活動，同時針對美國的關鍵基礎設施組織。