มัลแวร์ AVrecon Botnet

ตั้งแต่เดือนพฤษภาคม 2021 เป็นต้นไป มัลแวร์ Linux ที่แอบแฝงอย่างสูงที่รู้จักกันในชื่อ AVrecon ได้ถูกนำมาใช้เพื่อแทรกซึมเราเตอร์สำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) มากกว่า 70,000 เครื่องที่ทำงานบนระบบที่ใช้ Linux เราเตอร์ที่ถูกบุกรุกเหล่านี้จะถูกรวมเข้ากับบอตเน็ต โดยมีวัตถุประสงค์สองประการ: ขโมยแบนด์วิธและสร้างบริการพร็อกซีที่อยู่อาศัยแบบปกปิด จากข้อมูลของผู้เชี่ยวชาญของ Infosec จากอุปกรณ์ 70,000 เครื่องที่ถูกโจมตีโดย AVrecon นั้น มีอุปกรณ์ประมาณ 40,000 เครื่องที่รวมอยู่ในบ็อตเน็ต

ด้วยการใช้บ็อตเน็ตนี้ ผู้ปฏิบัติงานของ AVrecon สามารถปกปิดการกระทำที่เป็นอันตรายได้อย่างมีประสิทธิภาพ กิจกรรมเหล่านี้ครอบคลุมขอบเขตกว้างๆ ตั้งแต่แผนการโฆษณาดิจิทัลที่ฉ้อฉลไปจนถึงการโจมตีด้วยรหัสผ่าน ความพร้อมใช้งานของบริการพร็อกซีที่อยู่อาศัยที่ซ่อนอยู่ช่วยให้พวกเขามีวิธีในการปกปิดการดำเนินงานของพวกเขาและใช้ประโยชน์จากโครงสร้างพื้นฐานเครือข่ายที่ถูกบุกรุกเพื่อดำเนินกิจกรรมที่ชั่วร้ายโดยตรวจไม่พบ

มัลแวร์ AVrecon ทำงานเงียบ ๆ บนอุปกรณ์ที่ถูกละเมิด

ตั้งแต่การตรวจจับครั้งแรกในเดือนพฤษภาคม 2021 AVrecon ได้แสดงความสามารถที่โดดเด่นในการหลบเลี่ยงการตรวจจับ ในตอนแรกมีเป้าหมายที่เราเตอร์ของ Netgear และจัดการให้ไม่ถูกตรวจจับได้เป็นเวลากว่าสองปี ขยายการเข้าถึงอย่างต่อเนื่องโดยการดักจับบ็อตใหม่ๆ การเติบโตอย่างไม่หยุดยั้งนี้ผลักดันให้กลายเป็นหนึ่งในบอทเน็ตที่ใหญ่ที่สุดที่กำหนดเป้าหมายไปที่เราเตอร์สำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) ในช่วงไม่กี่ปีที่ผ่านมา

ผู้คุกคามที่อยู่เบื้องหลังมัลแวร์นี้ดูเหมือนจะเน้นกลยุทธ์ในการใช้ประโยชน์จากอุปกรณ์ SOHO ซึ่งผู้ใช้มีโอกาสน้อยที่จะแก้ไขช่องโหว่และความเสี่ยงที่รู้จัก (CVEs) ด้วยการใช้แนวทางที่ระมัดระวังมากขึ้น ผู้ปฏิบัติงานสามารถดำเนินการอย่างลับๆ ล่อๆ เป็นระยะเวลานาน โดยหลบเลี่ยงการตรวจจับได้นานกว่าสองปี ลักษณะที่ซ่อนเร้นของมัลแวร์หมายความว่าเจ้าของอุปกรณ์ที่ติดไวรัสแทบจะไม่พบการหยุดชะงักของบริการหรือแบนด์วิธที่สังเกตเห็นได้ชัดเจน ซึ่งทำให้บ็อตเน็ตยังคงตรวจไม่พบ

เมื่อเราเตอร์ติดไวรัส มัลแวร์จะดำเนินการส่งข้อมูลของอุปกรณ์ที่ถูกบุกรุกไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ที่ฝังอยู่ ต่อจากนั้น เครื่องที่ถูกแฮ็กจะได้รับคำสั่งให้สร้างการสื่อสารกับชุดเซิร์ฟเวอร์แยกต่างหากที่เรียกว่าเซิร์ฟเวอร์ C2 ระยะที่สอง ในระหว่างการสืบสวน นักวิจัยด้านความปลอดภัยระบุเซิร์ฟเวอร์ควบคุมขั้นที่สองทั้งหมด 15 ตัว เซิร์ฟเวอร์เหล่านี้ใช้งานได้ตั้งแต่เดือนตุลาคม 2021 เป็นอย่างน้อย ตามที่กำหนดโดยข้อมูลใบรับรอง x.509

การมีอยู่ของเซิร์ฟเวอร์ C2 ระยะที่สองเหล่านี้เน้นให้เห็นถึงโครงสร้างพื้นฐานที่ซับซ้อนและองค์กรที่ผู้คุกคามใช้อยู่เบื้องหลังมัลแวร์ นอกจากนี้ยังเน้นย้ำถึงความท้าทายที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ต้องเผชิญในการต่อสู้และบรรเทาผลกระทบของบ็อตเน็ตที่คงอยู่และเข้าใจยากนี้

อุปกรณ์ SOHO ที่ถูกบุกรุกอาจนำไปสู่ผลลัพธ์ที่ร้ายแรง

ในคำสั่งปฏิบัติการที่มีผลผูกพัน (BOD) ที่ออกโดย Cybersecurity and Infrastructure Security Agency (CISA) เมื่อเร็วๆ นี้ หน่วยงานรัฐบาลกลางของสหรัฐฯ ได้รับคำสั่งให้ดำเนินการทันทีเพื่อรักษาความปลอดภัยอุปกรณ์เครือข่ายที่เปิดเผยอินเทอร์เน็ต รวมถึงเราเตอร์ SOHO คำสั่งนี้กำหนดให้หน่วยงานของรัฐบาลกลางต้องเสริมกำลังอุปกรณ์เหล่านี้ภายใน 14 วันหลังจากค้นพบ เพื่อป้องกันความพยายามในการเจาะระบบที่อาจเกิดขึ้น

เหตุผลเบื้องหลังความเร่งด่วนนี้คือ การประนีประนอมอุปกรณ์ดังกล่าวที่ประสบความสำเร็จจะทำให้ผู้คุกคามสามารถรวมเราเตอร์ที่ถูกบุกรุกเข้ากับโครงสร้างพื้นฐานการโจมตีของพวกเขาได้ ในทางกลับกัน สิ่งนี้จะทำหน้าที่เป็นแท่นยิงสำหรับการเคลื่อนย้ายด้านข้างเข้าสู่เครือข่ายภายในของหน่วยงานเป้าหมาย ตามที่ CISA เน้นย้ำในคำเตือนของพวกเขา

การใช้ AVrecon โดยผู้คุกคามมีจุดประสงค์สองประการ: การรับส่งข้อมูลพร็อกซีและการมีส่วนร่วมในกิจกรรมที่ชั่วร้าย เช่น การพ่นรหัสผ่าน วิธีการทำงานที่แตกต่างกันนี้ทำให้แตกต่างไปจากการค้นพบมัลแวร์บนเราเตอร์ครั้งก่อนๆ ซึ่งมุ่งเน้นไปที่การกำหนดเป้าหมายเครือข่ายโดยตรงเป็นหลัก

ความรุนแรงของภัยคุกคามนี้เกิดจากการที่เราเตอร์ SOHO มักจะทำงานนอกขอบเขตความปลอดภัยทั่วไป ดังนั้น ความสามารถของฝ่ายป้องกันในการตรวจจับกิจกรรมที่ไม่ปลอดภัยจึงลดลงอย่างมาก สถานการณ์นี้เน้นย้ำถึงความสำคัญอย่างยิ่งยวดของการรักษาความปลอดภัยอุปกรณ์เหล่านี้ในทันทีเพื่อลดความเสี่ยงของการละเมิดที่อาจเกิดขึ้นและเพิ่มความปลอดภัยเครือข่ายโดยรวม