AVrecon Botnet Malware

Fra maj 2021 og frem er en yderst skjult Linux-malware kendt som AVrecon blevet brugt til at infiltrere mere end 70.000 small office/home office (SOHO)-routere, der opererer på Linux-baserede systemer. Disse kompromitterede routere bliver derefter inkorporeret i et botnet, der tjener et dobbelt formål: at stjæle båndbredde og etablere en skjult proxy-tjeneste til boliger. Ifølge infosec-eksperter blev omkring 40.000 ud af de 70.000 enheder kompromitteret af AVrecon inkorporeret i et botnet.

Ved at bruge dette botnet kan operatørerne af AVrecon effektivt skjule en række skadelige virksomheder. Disse aktiviteter omfatter et bredt spektrum, lige fra svigagtige digitale reklameprogrammer til angreb med adgangskodespray. Tilgængeligheden af en skjult proxy-tjeneste giver dem et middel til at anonymisere deres operationer og udnytte den kompromitterede netværksinfrastruktur til at udføre deres uhyggelige aktiviteter uopdaget.

AVrecon-malwaren fungerer lydløst på de brudte enheder

Siden den første påvisning i maj 2021, har AVrecon demonstreret en bemærkelsesværdig evne til at undgå detektion. Det var oprindeligt målrettet mod Netgear-routere og formåede at forblive uopdaget i over to år, og udvidede støt sin rækkevidde ved at fange nye bots. Denne ubarmhjertige vækst har drevet det til at blive et af de største botnets rettet mod små kontor/hjemmekontor (SOHO) routere i nyere tid.

Trusselsaktørerne bag denne malware ser ud til at have strategisk fokuseret på at udnytte SOHO-enheder, som brugerne var mindre tilbøjelige til at rette mod kendte sårbarheder og eksponeringer (CVE'er). Ved at anvende en mere forsigtig tilgang var operatørerne i stand til at operere snigende i en længere periode og undgik detektion i over to år. Den skjulte karakter af malware betød, at ejere af inficerede enheder sjældent oplevede mærkbare serviceforstyrrelser eller tab af båndbredde, hvilket yderligere gjorde det muligt for botnettet at fortsætte uopdaget.

Når en router er inficeret, fortsætter malwaren med at transmittere den kompromitterede enheds oplysninger til en indlejret Command-and-Control-server (C2). Efterfølgende modtager den hackede maskine instruktioner om at etablere kommunikation med et separat sæt servere kendt som anden trins C2-servere. Under deres undersøgelse identificerede sikkerhedsforskere i alt 15 anden-trins kontrolservere. Disse servere har været operationelle siden mindst oktober 2021, som bestemt af x.509-certifikatoplysninger.

Tilstedeværelsen af disse anden trins C2-servere fremhæver den sofistikerede infrastruktur og organisation, der anvendes af trusselsaktørerne bag malwaren. Det understreger yderligere de udfordringer, som cybersikkerhedseksperter står over for med at bekæmpe og afbøde virkningen af dette vedvarende og uhåndgribelige botnet.

Kompromitterede SOHO-enheder kan føre til alvorlige konsekvenser

I et bindende operationelt direktiv (BOD) for nylig udstedt af Cybersecurity and Infrastructure Security Agency (CISA), har amerikanske føderale agenturer fået mandat til at træffe øjeblikkelige foranstaltninger for at sikre interneteksponeret netværksudstyr, herunder SOHO-routere. Dette direktiv kræver, at føderale myndigheder skal befæste disse enheder inden for 14 dage efter opdagelsen for at forhindre potentielle brudforsøg.

Årsagen til dette hastende problem er, at et vellykket kompromittering af sådanne enheder ville give trusselsaktører mulighed for at inkorporere de kompromitterede routere i deres angrebsinfrastruktur. Dette vil igen tjene som en startrampe for lateral bevægelse ind i de interne netværk af målrettede enheder, som understreget af CISA i deres advarsel.

Brugen af AVrecon af trusselsaktører tjener et dobbelt formål: proxy for trafik og engagere sig i ondsindede aktiviteter såsom adgangskodespray. Denne særlige modus operandi adskiller den fra vores tidligere opdagelser af routerbaseret malware, som primært fokuserede på direkte netværksmålretning.

Alvoren af denne trussel skyldes det faktum, at SOHO-routere typisk opererer uden for den konventionelle sikkerhedsperimeter. Som følge heraf er forsvarernes evne til at opdage usikre aktiviteter væsentligt forringet. Denne situation understreger den kritiske vigtighed af omgående at sikre disse enheder for at mindske risikoen for potentielle brud og forbedre den overordnede netværkssikkerhed.