AVrecon Botnet Malware

Från maj 2021 och framåt har en mycket hemlig Linux-skadlig kod känd som AVrecon använts för att infiltrera mer än 70 000 routrar för små kontor/hemmakontor (SOHO) som fungerar på Linux-baserade system. Dessa komprometterade routrar inkorporeras sedan i ett botnät, som tjänar ett dubbelt syfte: att stjäla bandbredd och skapa en dold proxytjänst för bostäder. Enligt infosec-experter, av de 70 000 enheter som äventyrats av AVrecon, var cirka 40 000 inkorporerade i ett botnät.

Genom att använda detta botnät kan operatörerna av AVrecon effektivt dölja en rad skadliga åtaganden. Dessa aktiviteter omfattar ett brett spektrum, allt från bedrägliga digitala reklamsystem till attacker med lösenordssprayning. Tillgången till en dold proxytjänst för bostäder ger dem ett sätt att anonymisera sin verksamhet och utnyttja den komprometterade nätverksinfrastrukturen för att utföra sina skändliga aktiviteter oupptäckta.

AVrecon Malware fungerar tyst på enheterna som har brutits

Sedan den första upptäckten i maj 2021 har AVrecon visat en anmärkningsvärd förmåga att undvika upptäckt. Den riktade sig till en början från Netgear-routrar och lyckades förbli oupptäckt i över två år, och utökade stadigt sin räckvidd genom att fånga nya bots. Denna obevekliga tillväxt har drivit det till att bli ett av de största botnäten som riktar sig till små kontor/hemmakontor (SOHO) routrar på senare tid.

Hotaktörerna bakom detta skadliga program verkar ha strategiskt fokuserat på att utnyttja SOHO-enheter som användare var mindre benägna att korrigera mot kända sårbarheter och exponeringar (CVE). Genom att anta ett mer försiktigt tillvägagångssätt kunde operatörerna arbeta smygande under en längre period och undvike upptäckt i över två år. Den smygande naturen hos skadlig programvara gjorde att ägare av infekterade enheter sällan upplevde märkbara serviceavbrott eller bandbreddsförlust, vilket ytterligare gjorde det möjligt för botnätet att fortsätta oupptäckt.

När en router är infekterad fortsätter skadlig programvara att överföra informationen om den komprometterade enheten till en inbäddad Command-and-Control-server (C2). Därefter får den hackade maskinen instruktioner för att upprätta kommunikation med en separat uppsättning servrar som kallas andra steg C2-servrar. Under sin undersökning identifierade säkerhetsforskare totalt 15 andrastegskontrollservrar. Dessa servrar har varit i drift sedan åtminstone oktober 2021, vilket fastställs av x.509-certifikatinformation.

Närvaron av dessa C2-servrar i andra steget framhäver den sofistikerade infrastrukturen och organisationen som används av hotaktörerna bakom skadlig programvara. Det understryker ytterligare de utmaningar som cybersäkerhetsexperter står inför när det gäller att bekämpa och mildra effekterna av detta ihållande och svårfångade botnät.

Kompromissade SOHO-enheter kan leda till allvarliga konsekvenser

I ett bindande operativt direktiv (BOD) nyligen utfärdat av Cybersecurity and Infrastructure Security Agency (CISA), har amerikanska federala myndigheter fått mandat att vidta omedelbara åtgärder för att säkra Internet-exponerad nätverksutrustning, inklusive SOHO-routrar. Detta direktiv kräver att federala myndigheter stärker dessa enheter inom 14 dagar efter upptäckten för att förhindra potentiella intrångsförsök.

Anledningen till detta brådskande är att en framgångsrik kompromiss av sådana enheter skulle ge hotaktörer möjligheten att integrera de komprometterade routrarna i deras attackinfrastruktur. Detta skulle i sin tur fungera som en startplatta för lateral förflyttning in i de interna nätverken av riktade enheter, vilket CISA betonade i deras varning.

Användningen av AVrecon av hotaktörer tjänar ett dubbelt syfte: proxy-trafik och engagera sig i skändliga aktiviteter som lösenordssprayning. Detta distinkta arbetssätt skiljer den från våra tidigare upptäckter av routerbaserad skadlig programvara, som främst fokuserade på direkt nätverksinriktning.

Allvaret i detta hot beror på det faktum att SOHO-routrar vanligtvis fungerar utanför den konventionella säkerhetsperimetern. Följaktligen försämras försvararnas förmåga att upptäcka osäkra aktiviteter avsevärt. Denna situation understryker den avgörande vikten av att snabbt säkra dessa enheter för att minska risken för potentiella intrång och förbättra den övergripande nätverkssäkerheten.