AVrecon Botnet Malware

Mulai Mei 2021 dan seterusnya, perisian hasad Linux yang sangat terselindung yang dikenali sebagai AVrecon telah digunakan untuk menyusup lebih daripada 70,000 penghala pejabat/rumah kecil (SOHO) yang beroperasi pada sistem berasaskan Linux. Penghala yang terjejas ini kemudiannya digabungkan ke dalam botnet, yang mempunyai dua tujuan: merompak lebar jalur dan mewujudkan perkhidmatan proksi kediaman yang tersembunyi. Menurut pakar infosec, daripada 70 000 peranti yang dikompromi oleh AVrecon, sekitar 40 000 telah dimasukkan ke dalam botnet.

Dengan menggunakan botnet ini, pengendali AVrecon boleh menyembunyikan pelbagai usaha berbahaya dengan berkesan. Aktiviti ini merangkumi spektrum yang luas, daripada skim pengiklanan digital penipuan kepada serangan penyemburan kata laluan. Ketersediaan perkhidmatan proksi kediaman tersembunyi memberi mereka cara untuk menyamaratakan operasi mereka dan mengeksploitasi infrastruktur rangkaian yang terjejas untuk menjalankan aktiviti jahat mereka tanpa dapat dikesan.

Perisian Hasad AVrecon Beroperasi Secara Senyap pada Peranti Yang Dilanggar

Sejak pengesanan awalnya pada Mei 2021, AVrecon telah menunjukkan keupayaan yang luar biasa untuk mengelak pengesanan. Ia pada mulanya menyasarkan penghala Netgear dan berjaya kekal tidak dapat dikesan selama lebih dua tahun, terus mengembangkan jangkauannya dengan menjerat bot baharu. Pertumbuhan tanpa henti ini telah mendorongnya untuk menjadi salah satu botnet terbesar yang menyasarkan penghala pejabat kecil/pejabat rumah (SOHO) sejak kebelakangan ini.

Aktor ancaman di sebalik perisian hasad ini nampaknya telah memfokuskan secara strategik pada mengeksploitasi peranti SOHO yang pengguna kurang berkemungkinan menambal terhadap kerentanan dan pendedahan (CVE) yang diketahui. Dengan menggunakan pendekatan yang lebih berhati-hati, pengendali dapat beroperasi secara senyap-senyap untuk tempoh yang panjang, mengelakkan pengesanan selama lebih dua tahun. Sifat sembunyi-sembunyi perisian hasad bermakna pemilik peranti yang dijangkiti jarang mengalami gangguan perkhidmatan yang ketara atau kehilangan lebar jalur, seterusnya membolehkan botnet berterusan tanpa dapat dikesan.

Sebaik sahaja penghala dijangkiti, perisian hasad meneruskan untuk menghantar maklumat peranti yang terjejas ke pelayan Perintah-dan-Kawalan (C2) terbenam. Selepas itu, mesin yang digodam menerima arahan untuk mewujudkan komunikasi dengan set pelayan berasingan yang dikenali sebagai pelayan C2 peringkat kedua. Semasa siasatan mereka, penyelidik keselamatan mengenal pasti sejumlah 15 pelayan kawalan peringkat kedua. Pelayan ini telah beroperasi sejak sekurang-kurangnya Oktober 2021, seperti yang ditentukan oleh maklumat sijil x.509.

Kehadiran pelayan C2 peringkat kedua ini menyerlahkan infrastruktur dan organisasi canggih yang digunakan oleh pelaku ancaman di sebalik perisian hasad. Ia menekankan lagi cabaran yang dihadapi oleh pakar keselamatan siber dalam memerangi dan mengurangkan kesan botnet yang berterusan dan sukar difahami ini.

Peranti SOHO yang terjejas boleh membawa kepada akibat yang serius

Dalam arahan operasi (BOD) yang mengikat baru-baru ini dikeluarkan oleh Agensi Keselamatan Siber dan Infrastruktur (CISA), agensi persekutuan AS telah diberi mandat untuk mengambil tindakan segera untuk mendapatkan peralatan rangkaian yang terdedah kepada Internet, termasuk penghala SOHO. Arahan ini memerlukan agensi persekutuan untuk mengukuhkan peranti ini dalam masa 14 hari selepas penemuan untuk mengelakkan kemungkinan percubaan pelanggaran.

Sebab di sebalik kesegeraan ini ialah kompromi yang berjaya bagi peranti sedemikian akan memberikan aktor ancaman keupayaan untuk memasukkan penghala yang terjejas ke dalam infrastruktur serangan mereka. Ini, seterusnya, akan berfungsi sebagai landasan pelancaran untuk pergerakan sisi ke dalam rangkaian dalaman entiti yang disasarkan, seperti yang ditekankan oleh CISA dalam amaran mereka.

Penggunaan AVrecon oleh pelaku ancaman mempunyai dua tujuan: memproksi trafik dan terlibat dalam aktiviti jahat seperti penyemburan kata laluan. Modus operandi yang berbeza ini membezakannya daripada penemuan kami sebelum ini tentang perisian hasad berasaskan penghala, yang tertumpu terutamanya pada penyasaran rangkaian langsung.

Keterukan ancaman ini timbul daripada fakta bahawa penghala SOHO biasanya beroperasi di luar perimeter keselamatan konvensional. Akibatnya, keupayaan pembela untuk mengesan aktiviti tidak selamat berkurangan dengan ketara. Keadaan ini menyerlahkan kepentingan kritikal untuk melindungi peranti ini dengan segera untuk mengurangkan risiko kemungkinan pelanggaran dan meningkatkan keselamatan rangkaian keseluruhan.