AVrecon Botnet मालवेयर

मे २०२१ देखि, AVrecon भनेर चिनिने अत्यधिक गोप्य लिनक्स मालवेयरलाई लिनक्स-आधारित प्रणालीहरूमा सञ्चालित ७०,००० भन्दा बढी साना अफिस/होम अफिस (SOHO) राउटरहरूमा घुसपैठ गर्न प्रयोग गरिएको छ। यी सम्झौता गरिएका राउटरहरू त्यसपछि बोटनेटमा समावेश हुन्छन्, एक दोहोरो उद्देश्यको सेवा गर्दै: ब्यान्डविथ चोरी गर्ने र लुकाइएको आवासीय प्रोक्सी सेवा स्थापना गर्ने। इन्फोसेक विज्ञहरूका अनुसार AVrecon द्वारा सम्झौता गरिएका 70,000 यन्त्रहरू मध्ये, लगभग 40,000 लाई बोटनेटमा समावेश गरिएको थियो।

यस बोटनेटको प्रयोग गरेर, AVrecon का अपरेटरहरूले हानिकारक उपक्रमहरूको एर्रेलाई प्रभावकारी रूपमा लुकाउन सक्छन्। यी गतिविधिहरूले फराकिलो डिजिटल विज्ञापन योजनाहरूदेखि लिएर पासवर्ड-स्प्रे गर्ने आक्रमणहरू सम्मको व्यापक स्पेक्ट्रमलाई समेट्छ। लुकेको आवासीय प्रोक्सी सेवाको उपलब्धताले उनीहरूलाई तिनीहरूको अपरेसनहरू गुमनाम राख्ने र तिनीहरूको नराम्रो गतिविधिहरू पत्ता नलागेको सञ्जाल पूर्वाधारको शोषण गर्ने माध्यम प्रदान गर्दछ।

AVrecon मालवेयर उल्लङ्घन गरिएका यन्त्रहरूमा चुपचाप सञ्चालन हुन्छ

मे २०२१ मा यसको प्रारम्भिक पहिचान पछि, AVrecon ले पत्ता लगाउनबाट बच्नको लागि उल्लेखनीय क्षमता प्रदर्शन गरेको छ। यसले सुरुमा नेटगियर राउटरहरूलाई लक्षित गर्यो र दुई वर्षभन्दा बढी समयसम्म पत्ता नलागेको अवस्थामा रहन सफल भयो, नयाँ बटहरू फसाएर आफ्नो पहुँचलाई निरन्तर विस्तार गर्दै। यो अथक वृद्धिले यसलाई हालैका समयमा सानो अफिस/होम अफिस (SOHO) राउटरहरूलाई लक्षित गर्ने सबैभन्दा ठूलो बोटनेट बन्न प्रेरित गरेको छ।

यस मालवेयर पछिका खतरा अभिनेताहरूले SOHO उपकरणहरूको शोषणमा रणनीतिक रूपमा ध्यान केन्द्रित गरेको देखिन्छ जुन प्रयोगकर्ताहरूले ज्ञात कमजोरीहरू र एक्सपोजरहरू (CVEs) विरुद्ध प्याच गर्ने सम्भावना कम थियो। थप सतर्क दृष्टिकोण अपनाएर, अपरेटरहरूले विस्तारित अवधिको लागि लुकाएर सञ्चालन गर्न सक्षम भए, दुई वर्ष भन्दा बढीको लागि पत्ता लगाउन छोडेर। मालवेयरको गुप्त प्रकृतिको मतलब यो हो कि संक्रमित यन्त्रहरूका मालिकहरूले विरलै देख्न सकिने सेवा अवरोधहरू वा ब्यान्डविथ हानि अनुभव गरे, थप रूपमा बोटनेटलाई पत्ता नलागेको लागि सक्षम पार्दै।

एक पटक राउटर संक्रमित भएपछि, मालवेयरले इम्बेडेड कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा सम्झौता गरिएको उपकरणको जानकारी पठाउन अगाडि बढ्छ। पछि, ह्याक गरिएको मेसिनले दोस्रो-चरण C2 सर्भरहरू भनेर चिनिने सर्भरहरूको छुट्टै सेटसँग सञ्चार स्थापना गर्न निर्देशनहरू प्राप्त गर्दछ। उनीहरूको अनुसन्धानको क्रममा, सुरक्षा अनुसन्धानकर्ताहरूले कुल 15 दोस्रो-चरण नियन्त्रण सर्भरहरू पहिचान गरे। यी सर्भरहरू कम्तिमा अक्टोबर २०२१ देखि सञ्चालनमा छन्, x.509 प्रमाणपत्र जानकारी द्वारा निर्धारित।

यी दोस्रो-चरण C2 सर्भरहरूको उपस्थितिले परिष्कृत पूर्वाधार र मालवेयर पछाडि खतरा अभिनेताहरू द्वारा नियोजित संगठनलाई हाइलाइट गर्दछ। यसले यस निरन्तर र मायावी बोटनेटको प्रभावसँग लड्न र कम गर्न साइबर सुरक्षा विशेषज्ञहरूले सामना गर्ने चुनौतीहरूलाई अझ जोड दिन्छ।

सम्झौता SOHO यन्त्रहरूले गम्भीर परिणामहरू निम्त्याउन सक्छ

भर्खरै साइबरसेक्युरिटी र इन्फ्रास्ट्रक्चर सेक्युरिटी एजेन्सी (CISA) द्वारा जारी गरिएको बाध्यकारी परिचालन निर्देशन (BOD) मा, US संघीय एजेन्सीहरूलाई SOHO राउटरहरू सहित इन्टरनेट-एक्सपोज गरिएको नेटवर्किङ उपकरणहरू सुरक्षित गर्न तत्काल कारबाही गर्न आदेश दिइएको छ। यस निर्देशनले संघीय एजेन्सीहरूलाई सम्भावित उल्लङ्घन प्रयासहरू रोक्न खोजेको 14 दिन भित्र यी उपकरणहरूलाई सुदृढ गर्न आवश्यक छ।

यस अत्यावश्यकताको पछाडिको कारण यो हो कि त्यस्ता उपकरणहरूको सफल सम्झौताले खतरा अभिनेताहरूलाई उनीहरूको आक्रमण पूर्वाधारमा सम्झौता राउटरहरू समावेश गर्ने क्षमता प्रदान गर्दछ। यसले, बदलेमा, लक्षित संस्थाहरूको आन्तरिक नेटवर्कहरूमा पार्श्व आन्दोलनको लागि लन्चप्याडको रूपमा काम गर्नेछ, जसलाई CISA ले उनीहरूको चेतावनीमा जोड दिएको छ।

खतरा अभिनेताहरू द्वारा AVrecon को उपयोगले दोहोरो उद्देश्य पूरा गर्दछ: ट्राफिक प्रोक्सी गर्ने र पासवर्ड स्प्रे गर्ने जस्ता नापाक गतिविधिहरूमा संलग्न। यो फरक मोडस अपरेन्डीले यसलाई हाम्रो राउटर-आधारित मालवेयरको अघिल्लो खोजहरूबाट अलग गर्छ, जुन मुख्य रूपमा प्रत्यक्ष नेटवर्क लक्ष्यीकरणमा केन्द्रित थियो।

यस खतराको गुरुत्वाकर्षण यस तथ्यबाट उत्पन्न हुन्छ कि SOHO राउटरहरू सामान्यतया परम्परागत सुरक्षा परिधि बाहिर काम गर्छन्। फलस्वरूप, असुरक्षित गतिविधिहरू पत्ता लगाउन रक्षकहरूको क्षमता उल्लेखनीय रूपमा घटेको छ। यस अवस्थाले सम्भावित उल्लङ्घनहरूको जोखिम कम गर्न र समग्र नेटवर्क सुरक्षा बढाउन यी उपकरणहरूलाई तुरुन्तै सुरक्षित गर्ने महत्त्वपूर्ण महत्त्वलाई हाइलाइट गर्दछ।