AVrecon Botnet skadelig programvare

Fra mai 2021 og utover har en svært skjult Linux-malware kjent som AVrecon blitt brukt for å infiltrere mer enn 70 000 små kontor/hjemmekontor (SOHO)-rutere som opererer på Linux-baserte systemer. Disse kompromitterte ruterne blir deretter integrert i et botnett, og tjener et dobbelt formål: å stjele båndbredde og etablere en skjult proxy-tjeneste for boliger. I følge infosec-eksperter, av de 70 000 enhetene som AVrecon kompromitterte, ble rundt 40 000 integrert i et botnett.

Ved å bruke dette botnettet kan operatørene av AVrecon effektivt skjule en rekke skadelige foretak. Disse aktivitetene omfatter et bredt spekter, alt fra falske digitale reklameopplegg til passordsprøyteangrep. Tilgjengeligheten av en skjult proxy-tjeneste for boliger gir dem et middel til å anonymisere driften og utnytte den kompromitterte nettverksinfrastrukturen for å utføre sine uhyggelige aktiviteter uoppdaget.

AVrecon-malwaren fungerer stille på enhetene som brytes

Siden den første oppdagelsen i mai 2021, har AVrecon vist en bemerkelsesverdig evne til å unngå deteksjon. Den målrettet opprinnelig Netgear-rutere og klarte å forbli uoppdaget i over to år, og utvidet rekkevidden jevnlig ved å fange nye roboter. Denne nådeløse veksten har drevet det til å bli et av de største botnettene rettet mot små kontor/hjemmekontor (SOHO) rutere i nyere tid.

Trusselaktørene bak denne skadevaren ser ut til å ha strategisk fokusert på å utnytte SOHO-enheter som det var mindre sannsynlig at brukere lappet mot kjente sårbarheter og eksponeringer (CVE). Ved å bruke en mer forsiktig tilnærming, var operatørene i stand til å operere snikende i en lengre periode, og unngikk deteksjon i over to år. Den skjulte naturen til skadevaren førte til at eiere av infiserte enheter sjelden opplevde merkbare tjenesteforstyrrelser eller tap av båndbredde, noe som gjorde det mulig for botnettet å vedvare uoppdaget.

Når en ruter er infisert, fortsetter skadevaren med å overføre informasjonen til den kompromitterte enheten til en innebygd Command-and-Control-server (C2). Deretter mottar den hackede maskinen instruksjoner om å etablere kommunikasjon med et eget sett med servere kjent som andre trinns C2-servere. Under etterforskningen identifiserte sikkerhetsforskere totalt 15 andre trinns kontrollservere. Disse serverne har vært operative siden minst oktober 2021, som bestemt av x.509-sertifikatinformasjon.

Tilstedeværelsen av disse andre trinns C2-serverne fremhever den sofistikerte infrastrukturen og organisasjonen som brukes av trusselaktørene bak skadevare. Det understreker ytterligere utfordringene som cybersikkerhetseksperter står overfor når det gjelder å bekjempe og dempe virkningen av dette vedvarende og unnvikende botnettet.

Kompromitterte SOHO-enheter kan føre til alvorlige konsekvenser

I et bindende operativt direktiv (BOD) nylig utstedt av Cybersecurity and Infrastructure Security Agency (CISA), har amerikanske føderale byråer fått mandat til å iverksette umiddelbare tiltak for å sikre Internett-eksponert nettverksutstyr, inkludert SOHO-rutere. Dette direktivet krever at føderale byråer forsterker disse enhetene innen 14 dager etter oppdagelse for å forhindre potensielle bruddforsøk.

Årsaken bak dette haster er at et vellykket kompromiss av slike enheter vil gi trusselaktører muligheten til å innlemme de kompromitterte ruterne i deres angrepsinfrastruktur. Dette vil igjen tjene som en startrampe for sideveis bevegelse inn i de interne nettverkene til målrettede enheter, som understreket av CISA i deres advarsel.

Bruken av AVrecon av trusselaktører tjener et dobbelt formål: proxy-tjener trafikk og delta i ondsinnede aktiviteter som passordspraying. Denne distinkte modusen operandi skiller den fra våre tidligere oppdagelser av ruterbasert skadelig programvare, som først og fremst fokuserte på direkte nettverksmålretting.

Alvorligheten av denne trusselen kommer fra det faktum at SOHO-rutere vanligvis opererer utenfor den konvensjonelle sikkerhetsperimeteren. Følgelig er forsvarernes evne til å oppdage utrygge aktiviteter betydelig redusert. Denne situasjonen fremhever den kritiske viktigheten av å raskt sikre disse enhetene for å redusere risikoen for potensielle brudd og forbedre den generelle nettverkssikkerheten.