AVrecon Botnet మాల్వేర్

మే 2021 నుండి, Linux-ఆధారిత సిస్టమ్‌లపై పనిచేసే 70,000 కంటే ఎక్కువ చిన్న ఆఫీస్/హోమ్ ఆఫీస్ (SOHO) రౌటర్‌లలోకి చొరబడటానికి AVrecon అని పిలువబడే అత్యంత రహస్యమైన Linux మాల్వేర్ ఉపయోగించబడింది. ఈ రాజీపడిన రౌటర్‌లు బోట్‌నెట్‌లో చేర్చబడతాయి, ఇవి ద్వంద్వ ప్రయోజనాన్ని అందిస్తాయి: బ్యాండ్‌విడ్త్‌ను దొంగిలించడం మరియు రహస్య నివాస ప్రాక్సీ సేవను ఏర్పాటు చేయడం. ఇన్ఫోసెక్ నిపుణుల అభిప్రాయం ప్రకారం, AVrecon ద్వారా రాజీపడిన 70 000 పరికరాలలో, దాదాపు 40 000 బోట్‌నెట్‌లో చేర్చబడ్డాయి.

ఈ బోట్‌నెట్‌ని ఉపయోగించడం ద్వారా, AVrecon ఆపరేటర్లు హానికరమైన కార్యక్రమాల శ్రేణిని సమర్థవంతంగా దాచగలరు. ఈ కార్యకలాపాలు మోసపూరిత డిజిటల్ ప్రకటనల పథకాల నుండి పాస్‌వర్డ్-స్ప్రేయింగ్ దాడుల వరకు విస్తృత స్పెక్ట్రమ్‌ను కలిగి ఉంటాయి. దాచిన రెసిడెన్షియల్ ప్రాక్సీ సేవ యొక్క లభ్యత వారి కార్యకలాపాలను అనామకీకరించడానికి మరియు వారి దుర్మార్గపు కార్యకలాపాలను గుర్తించకుండా నిర్వహించడానికి రాజీపడిన నెట్‌వర్క్ అవస్థాపనను ఉపయోగించుకోవడానికి వారికి మార్గాన్ని అందిస్తుంది.

AVrecon మాల్వేర్ విచ్ఛిన్నమైన పరికరాలపై నిశ్శబ్దంగా పనిచేస్తుంది

మే 2021లో ప్రారంభ గుర్తింపు పొందినప్పటి నుండి, AVrecon గుర్తింపును తప్పించుకునే అద్భుతమైన సామర్థ్యాన్ని ప్రదర్శించింది. ఇది ప్రారంభంలో నెట్‌గేర్ రూటర్‌లను లక్ష్యంగా చేసుకుంది మరియు రెండు సంవత్సరాల పాటు గుర్తించబడకుండా ఉండగలిగింది, కొత్త బాట్‌లను చిక్కుకోవడం ద్వారా దాని పరిధిని క్రమంగా విస్తరించింది. ఈ కనికరంలేని పెరుగుదల ఇటీవలి కాలంలో చిన్న ఆఫీస్/హోమ్ ఆఫీస్ (SOHO) రౌటర్‌లను లక్ష్యంగా చేసుకున్న అతిపెద్ద బోట్‌నెట్‌లలో ఒకటిగా మారింది.

ఈ మాల్వేర్ వెనుక ఉన్న ముప్పు నటీనటులు SOHO పరికరాలను ఉపయోగించుకోవడంపై వ్యూహాత్మకంగా దృష్టి సారించారు, వినియోగదారులు తెలిసిన దుర్బలత్వాలు మరియు ఎక్స్‌పోజర్‌లకు (CVEలు) వ్యతిరేకంగా ప్యాచ్ చేసే అవకాశం తక్కువ. మరింత జాగ్రత్తతో కూడిన విధానాన్ని అవలంబించడం ద్వారా, ఆపరేటర్‌లు చాలా కాలం పాటు దొంగతనంగా ఆపరేట్ చేయగలిగారు, రెండేళ్లపాటు గుర్తించకుండా తప్పించుకున్నారు. మాల్వేర్ యొక్క రహస్య స్వభావం సోకిన పరికరాల యజమానులు గుర్తించదగిన సేవా అంతరాయాలను లేదా బ్యాండ్‌విడ్త్ నష్టాన్ని చాలా అరుదుగా ఎదుర్కొంటారు, తద్వారా బోట్‌నెట్ గుర్తించబడకుండా కొనసాగేలా చేస్తుంది.

ఒక రూటర్ సోకిన తర్వాత, మాల్వేర్ రాజీపడిన పరికరం యొక్క సమాచారాన్ని పొందుపరిచిన కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు ప్రసారం చేస్తుంది. తదనంతరం, హ్యాక్ చేయబడిన మెషీన్ రెండవ-దశ C2 సర్వర్లు అని పిలువబడే ప్రత్యేక సర్వర్‌లతో కమ్యూనికేషన్‌ను ఏర్పాటు చేయడానికి సూచనలను అందుకుంటుంది. వారి పరిశోధనలో, భద్రతా పరిశోధకులు మొత్తం 15 రెండవ-దశ నియంత్రణ సర్వర్‌లను గుర్తించారు. ఈ సర్వర్‌లు x.509 సర్టిఫికేట్ సమాచారం ద్వారా నిర్ణయించబడినట్లుగా కనీసం అక్టోబర్ 2021 నుండి పనిచేస్తాయి.

ఈ రెండవ-దశ C2 సర్వర్‌ల ఉనికి మాల్వేర్ వెనుక ఉన్న ముప్పు నటులు ఉపయోగించిన అధునాతన మౌలిక సదుపాయాలు మరియు సంస్థను హైలైట్ చేస్తుంది. ఈ నిరంతర మరియు అంతుచిక్కని బోట్‌నెట్ ప్రభావాన్ని ఎదుర్కోవడంలో మరియు తగ్గించడంలో సైబర్‌ సెక్యూరిటీ నిపుణులు ఎదుర్కొంటున్న సవాళ్లను ఇది మరింత నొక్కి చెబుతుంది.

రాజీపడిన SOHO పరికరాలు తీవ్రమైన పరిణామాలకు దారితీయవచ్చు

సైబర్‌ సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) ఇటీవల జారీ చేసిన బైండింగ్ ఆపరేషనల్ డైరెక్టివ్ (BOD)లో, SOHO రూటర్‌లతో సహా ఇంటర్నెట్-బహిర్గత నెట్‌వర్కింగ్ పరికరాలను సురక్షితంగా ఉంచడానికి US ఫెడరల్ ఏజెన్సీలు తక్షణ చర్య తీసుకోవాలని ఆదేశించబడ్డాయి. సంభావ్య ఉల్లంఘన ప్రయత్నాలను నిరోధించడానికి కనుగొనబడిన 14 రోజులలోపు ఫెడరల్ ఏజెన్సీలు ఈ పరికరాలను పటిష్టపరచవలసి ఉంటుంది.

ఈ ఆవశ్యకత వెనుక ఉన్న కారణం ఏమిటంటే, అటువంటి పరికరాల యొక్క విజయవంతమైన రాజీ, రాజీపడిన రూటర్‌లను వారి దాడి అవస్థాపనలో చేర్చుకునే సామర్థ్యాన్ని ముప్పు నటులకు అందిస్తుంది. ఇది, CISA వారి హెచ్చరికలో నొక్కిచెప్పినట్లు, లక్ష్య సంస్థల అంతర్గత నెట్‌వర్క్‌లలోకి పార్శ్వ కదలిక కోసం లాంచ్‌ప్యాడ్‌గా ఉపయోగపడుతుంది.

బెదిరింపు నటులచే AVrecon యొక్క వినియోగం ద్వంద్వ ప్రయోజనాన్ని అందిస్తుంది: ట్రాఫిక్‌ను ప్రాక్సీ చేయడం మరియు పాస్‌వర్డ్ స్ప్రేయింగ్ వంటి దుర్మార్గపు కార్యకలాపాలలో పాల్గొనడం. ఈ విలక్షణమైన కార్యనిర్వహణ రౌటర్-ఆధారిత మాల్వేర్ యొక్క మా మునుపటి ఆవిష్కరణల నుండి దీనిని వేరు చేస్తుంది, ఇది ప్రధానంగా ప్రత్యక్ష నెట్‌వర్క్ లక్ష్యంపై దృష్టి పెట్టింది.

ఈ ముప్పు యొక్క గురుత్వాకర్షణ SOHO రౌటర్లు సాధారణంగా సంప్రదాయ భద్రతా చుట్టుకొలత వెలుపల పనిచేస్తాయి అనే వాస్తవం నుండి పుడుతుంది. పర్యవసానంగా, అసురక్షిత కార్యకలాపాలను గుర్తించే డిఫెండర్ల సామర్థ్యం గణనీయంగా తగ్గిపోతుంది. సంభావ్య ఉల్లంఘనల ప్రమాదాన్ని తగ్గించడానికి మరియు మొత్తం నెట్‌వర్క్ భద్రతను మెరుగుపరచడానికి ఈ పరికరాలను వెంటనే భద్రపరచడం యొక్క కీలకమైన ప్రాముఖ్యతను ఈ పరిస్థితి హైలైట్ చేస్తుంది.