Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό Botnet AVrecon

Κακόβουλο λογισμικό Botnet AVrecon

Μέχρι το Mezo το Malware, Botnets
Μετάφραση σε:
Ελληνικά

Από τον Μάιο του 2021 και μετά, ένα εξαιρετικά κρυφό κακόβουλο λογισμικό Linux, γνωστό ως AVrecon, έχει χρησιμοποιηθεί για να διεισδύσει σε περισσότερους από 70.000 δρομολογητές μικρών γραφείου/οικιακού γραφείου (SOHO) που λειτουργούν σε συστήματα που βασίζονται σε Linux. Αυτοί οι παραβιασμένοι δρομολογητές ενσωματώνονται στη συνέχεια σε ένα botnet, εξυπηρετώντας έναν διπλό σκοπό: κλοπή εύρους ζώνης και δημιουργία μιας κρυφής υπηρεσίας μεσολάβησης κατοικιών. Σύμφωνα με ειδικούς του infosec, από τις 70.000 συσκευές που παραβιάστηκαν από την AVrecon, περίπου 40.000 ενσωματώθηκαν σε ένα botnet.

Χρησιμοποιώντας αυτό το botnet, οι χειριστές της AVrecon μπορούν να αποκρύψουν αποτελεσματικά μια σειρά από επιβλαβείς επιχειρήσεις. Αυτές οι δραστηριότητες περιλαμβάνουν ένα ευρύ φάσμα, που κυμαίνεται από δόλια προγράμματα ψηφιακής διαφήμισης έως επιθέσεις με ψεκασμό κωδικών πρόσβασης. Η διαθεσιμότητα μιας κρυφής οικιακής υπηρεσίας μεσολάβησης τους παρέχει ένα μέσο για να ανωνυμοποιήσουν τις δραστηριότητές τους και να εκμεταλλευτούν την υποβαθμισμένη δικτυακή υποδομή για να πραγματοποιήσουν τις άθλιες δραστηριότητές τους χωρίς να ανιχνευθούν.

Το κακόβουλο λογισμικό AVrecon λειτουργεί αθόρυβα στις συσκευές που έχουν παραβιαστεί

Από την αρχική του ανίχνευση τον Μάιο του 2021, το AVrecon έχει επιδείξει μια αξιοσημείωτη ικανότητα να αποφεύγει τον εντοπισμό. Αρχικά στόχευε τους δρομολογητές Netgear και κατάφερε να παραμείνει απαρατήρητος για πάνω από δύο χρόνια, επεκτείνοντας σταθερά την εμβέλειά του παγιδεύοντας νέα bots. Αυτή η αδιάκοπη ανάπτυξη την ώθησε να γίνει ένα από τα μεγαλύτερα botnets που στοχεύουν δρομολογητές μικρού γραφείου/οικιακού γραφείου (SOHO) τα τελευταία χρόνια.

Οι παράγοντες απειλών πίσω από αυτό το κακόβουλο λογισμικό φαίνεται να έχουν επικεντρωθεί στρατηγικά στην εκμετάλλευση συσκευών SOHO που οι χρήστες ήταν λιγότερο πιθανό να επιδιορθώσουν έναντι γνωστών τρωτών σημείων και εκθέσεων (CVE). Υιοθετώντας μια πιο προσεκτική προσέγγιση, οι χειριστές μπόρεσαν να λειτουργούν κρυφά για παρατεταμένο χρονικό διάστημα, αποφεύγοντας την ανίχνευση για περισσότερα από δύο χρόνια. Η κρυφή φύση του κακόβουλου λογισμικού σήμαινε ότι οι ιδιοκτήτες μολυσμένων συσκευών σπάνια αντιμετώπιζαν αξιοσημείωτες διακοπές υπηρεσιών ή απώλεια εύρους ζώνης, επιτρέποντας περαιτέρω στο botnet να παραμείνει απαρατήρητο.

Μόλις μολυνθεί ένας δρομολογητής, το κακόβουλο λογισμικό μεταδίδει τις πληροφορίες της παραβιασμένης συσκευής σε έναν ενσωματωμένο διακομιστή Command-and-Control (C2). Στη συνέχεια, το μηχάνημα που έχει παραβιαστεί λαμβάνει οδηγίες για να δημιουργήσει επικοινωνία με ένα ξεχωριστό σύνολο διακομιστών γνωστών ως διακομιστές C2 δεύτερου σταδίου. Κατά τη διάρκεια της έρευνάς τους, οι ερευνητές ασφαλείας εντόπισαν συνολικά 15 διακομιστές ελέγχου δεύτερου σταδίου. Αυτοί οι διακομιστές λειτουργούν τουλάχιστον από τον Οκτώβριο του 2021, όπως προσδιορίζεται από τις πληροφορίες πιστοποιητικού x.509.

Η παρουσία αυτών των διακομιστών C2 δεύτερου σταδίου υπογραμμίζει την προηγμένη υποδομή και την οργάνωση που χρησιμοποιούν οι φορείς απειλών πίσω από το κακόβουλο λογισμικό. Υπογραμμίζει περαιτέρω τις προκλήσεις που αντιμετωπίζουν οι ειδικοί στον τομέα της κυβερνοασφάλειας για την καταπολέμηση και τον μετριασμό του αντίκτυπου αυτού του επίμονου και αόριστου botnet.

Οι παραβιασμένες συσκευές SOHO θα μπορούσαν να οδηγήσουν σε σοβαρές συνέπειες

Σε μια δεσμευτική επιχειρησιακή οδηγία (BOD) που εκδόθηκε πρόσφατα από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), οι ομοσπονδιακές υπηρεσίες των ΗΠΑ έχουν λάβει εντολή να λάβουν άμεση δράση για την ασφάλεια του εξοπλισμού δικτύωσης που εκτίθεται στο Διαδίκτυο, συμπεριλαμβανομένων των δρομολογητών SOHO. Αυτή η οδηγία απαιτεί από τις ομοσπονδιακές υπηρεσίες να ενισχύσουν αυτές τις συσκευές εντός 14 ημερών από την ανακάλυψή τους για να αποτρέψουν πιθανές απόπειρες παραβίασης.

Ο λόγος πίσω από αυτήν την επείγουσα ανάγκη είναι ότι ένας επιτυχημένος συμβιβασμός τέτοιων συσκευών θα παρείχε στους φορείς απειλής τη δυνατότητα να ενσωματώσουν τους παραβιασμένους δρομολογητές στην υποδομή επίθεσης. Αυτό, με τη σειρά του, θα χρησίμευε ως σημείο εκτόξευσης για πλευρική κίνηση στα εσωτερικά δίκτυα στοχευμένων οντοτήτων, όπως τόνισε η CISA στην προειδοποίησή της.

Η χρήση του AVrecon από τους φορείς απειλών εξυπηρετεί έναν διπλό σκοπό: την παροχή διαμεσολάβησης στην κυκλοφορία και τη συμμετοχή σε κακόβουλες δραστηριότητες, όπως ο ψεκασμός κωδικών πρόσβασης. Αυτός ο ξεχωριστός τρόπος λειτουργίας το διαφοροποιεί από τις προηγούμενες ανακαλύψεις μας για κακόβουλο λογισμικό που βασίζεται σε δρομολογητές, το οποίο επικεντρωνόταν κυρίως στην άμεση στόχευση δικτύου.

Η σοβαρότητα αυτής της απειλής προκύπτει από το γεγονός ότι οι δρομολογητές SOHO λειτουργούν συνήθως εκτός της συμβατικής περιμέτρου ασφαλείας. Κατά συνέπεια, η ικανότητα των υπερασπιστών να ανιχνεύουν μη ασφαλείς δραστηριότητες μειώνεται σημαντικά. Αυτή η κατάσταση υπογραμμίζει την κρίσιμη σημασία της έγκαιρης ασφάλισης αυτών των συσκευών για τον μετριασμό του κινδύνου πιθανών παραβιάσεων και τη βελτίωση της συνολικής ασφάλειας του δικτύου.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...