AVrecon Botnet-malware

Vanaf mei 2021 is een zeer geheime Linux-malware, bekend als AVrecon, gebruikt om meer dan 70.000 small office/home office (SOHO)-routers te infiltreren die op Linux-gebaseerde systemen werken. Deze gecompromitteerde routers worden vervolgens opgenomen in een botnet, met een tweeledig doel: het stelen van bandbreedte en het opzetten van een verborgen residentiële proxyservice. Volgens infosec-experts zijn van de 70.000 apparaten die door AVrecon zijn aangetast, ongeveer 40.000 in een botnet opgenomen.

Door dit botnet te gebruiken, kunnen de exploitanten van AVrecon een reeks schadelijke ondernemingen effectief verbergen. Deze activiteiten bestrijken een breed spectrum, variërend van frauduleuze digitale advertentieprogramma's tot wachtwoord-spraying-aanvallen. De beschikbaarheid van een verborgen residentiële proxy-service biedt hen een middel om hun activiteiten te anonimiseren en de gecompromitteerde netwerkinfrastructuur te exploiteren om hun snode activiteiten onopgemerkt uit te voeren.

De AVrecon-malware werkt geruisloos op de geschonden apparaten

Sinds de eerste detectie in mei 2021 heeft AVrecon een opmerkelijk vermogen getoond om detectie te omzeilen. Het richtte zich aanvankelijk op Netgear-routers en slaagde erin meer dan twee jaar onopgemerkt te blijven, waarbij het zijn bereik gestaag uitbreidde door nieuwe bots te verstrikken. Deze meedogenloze groei heeft ertoe geleid dat het de afgelopen tijd een van de grootste botnets is geworden die zich richten op routers voor kleine kantoren/thuiskantoren (SOHO).

De dreigingsactoren achter deze malware lijken zich strategisch te hebben gericht op het exploiteren van SOHO-apparaten die gebruikers minder snel zouden patchen tegen bekende kwetsbaarheden en blootstellingen (CVE's). Door een meer voorzichtige aanpak te hanteren, konden de operators gedurende een langere periode heimelijk opereren en meer dan twee jaar aan detectie ontsnappen. Door de heimelijke aard van de malware ondervonden eigenaren van geïnfecteerde apparaten zelden merkbare serviceonderbrekingen of bandbreedteverlies, waardoor het botnet verder onopgemerkt kon blijven bestaan.

Zodra een router is geïnfecteerd, gaat de malware verder met het verzenden van de informatie van het gecompromitteerde apparaat naar een ingebouwde Command-and-Control (C2)-server. Vervolgens ontvangt de gehackte machine instructies om communicatie tot stand te brengen met een afzonderlijke set servers die bekend staat als tweede-traps C2-servers. Tijdens hun onderzoek identificeerden beveiligingsonderzoekers in totaal 15 controleservers in de tweede fase. Deze servers zijn in ieder geval sinds oktober 2021 operationeel, zoals bepaald door x.509-certificaatinformatie.

De aanwezigheid van deze C2-servers in de tweede fase benadrukt de geavanceerde infrastructuur en organisatie die worden gebruikt door de bedreigingsactoren achter de malware. Het onderstreept verder de uitdagingen waarmee cyberbeveiligingsexperts worden geconfronteerd bij het bestrijden en verminderen van de impact van dit hardnekkige en ongrijpbare botnet.

Gecompromitteerde SOHO-apparaten kunnen ernstige gevolgen hebben

In een bindende operationele richtlijn (BOD) die onlangs is uitgegeven door de Cybersecurity and Infrastructure Security Agency (CISA), hebben Amerikaanse federale agentschappen het mandaat gekregen om onmiddellijk actie te ondernemen om netwerkapparatuur die aan internet is blootgesteld, inclusief SOHO-routers, te beveiligen. Deze richtlijn vereist dat federale instanties deze apparaten binnen 14 dagen na ontdekking versterken om mogelijke pogingen tot inbreuk te voorkomen.

De reden achter deze urgentie is dat een succesvolle aanval van dergelijke apparaten bedreigingsactoren de mogelijkheid zou geven om de gecompromitteerde routers in hun aanvalsinfrastructuur op te nemen. Dit zou op zijn beurt dienen als een lanceerplatform voor zijwaartse beweging naar de interne netwerken van beoogde entiteiten, zoals benadrukt door CISA in hun waarschuwing.

Het gebruik van AVrecon door bedreigingsactoren heeft een tweeledig doel: verkeer via een proxy uitvoeren en kwaadaardige activiteiten uitvoeren, zoals het opschonen van wachtwoorden. Deze aparte modus operandi onderscheidt het van onze eerdere ontdekkingen van op router gebaseerde malware, die zich voornamelijk richtte op directe netwerktargeting.

De ernst van deze dreiging komt voort uit het feit dat SOHO-routers doorgaans buiten de conventionele beveiligingsperimeter opereren. Bijgevolg wordt het vermogen van verdedigers om onveilige activiteiten te detecteren aanzienlijk verminderd. Deze situatie benadrukt het cruciale belang van het snel beveiligen van deze apparaten om het risico op mogelijke inbreuken te verkleinen en de algehele netwerkbeveiliging te verbeteren.