AVrecon Botnet Malware

Mula Mayo 2021, ginamit ang isang napakatagong Linux malware na kilala bilang AVrecon para makalusot sa mahigit 70,000 small office/home office (SOHO) router na tumatakbo sa Linux-based na mga system. Ang mga nakompromisong router na ito ay isinasama sa isang botnet, na nagsisilbi sa dalawang layunin: pagnanakaw ng bandwidth at pagtatatag ng isang nakatagong residential proxy service. Ayon sa mga eksperto sa infosec, sa 70 000 na device na nakompromiso ng AVrecon, humigit-kumulang 40 000 ang isinama sa isang botnet.

Sa pamamagitan ng paggamit ng botnet na ito, ang mga operator ng AVrecon ay maaaring epektibong magtago ng hanay ng mga mapaminsalang gawain. Ang mga aktibidad na ito ay sumasaklaw sa isang malawak na spectrum, mula sa mapanlinlang na digital advertising scheme hanggang sa pag-atake ng pag-spray ng password. Ang pagkakaroon ng isang nakatagong residential proxy service ay nagbibigay sa kanila ng isang paraan upang i-anonymize ang kanilang mga operasyon at pagsamantalahan ang nakompromisong imprastraktura ng network upang maisagawa ang kanilang mga karumal-dumal na aktibidad nang hindi natukoy.

Tahimik na Gumagana ang AVrecon Malware sa Mga Nilabag na Device

Mula noong unang pagtuklas nito noong Mayo 2021, nagpakita ang AVrecon ng kahanga-hangang kakayahang makaiwas sa pagtuklas. Una nitong pinuntirya ang mga Netgear router at pinamamahalaang manatiling hindi natukoy sa loob ng mahigit dalawang taon, patuloy na pinalawak ang abot nito sa pamamagitan ng paghuli sa mga bagong bot. Ang walang humpay na paglago na ito ay nagtulak dito na maging isa sa pinakamalaking botnet na nagta-target ng mga maliliit na opisina/home office (SOHO) na mga router sa mga kamakailang panahon.

Ang mga banta sa likod ng malware na ito ay lumilitaw na estratehikong nakatuon sa pagsasamantala sa mga SOHO device na mas malamang na i-patch ng mga user laban sa mga kilalang vulnerabilities and exposures (CVEs). Sa pamamagitan ng pagpapatibay ng isang mas maingat na diskarte, ang mga operator ay nakapagpatakbo ng palihim para sa isang pinalawig na panahon, na hindi natukoy sa loob ng higit sa dalawang taon. Nangangahulugan ang palihim na katangian ng malware na ang mga may-ari ng mga nahawaang device ay bihirang makaranas ng mga kapansin-pansing pagkaantala ng serbisyo o pagkawala ng bandwidth, na higit pang nagbibigay-daan sa botnet na magpatuloy nang hindi natukoy.

Kapag na-infect na ang isang router, magpapatuloy ang malware na ipadala ang impormasyon ng nakompromisong device sa isang naka-embed na Command-and-Control (C2) server. Kasunod nito, ang na-hack na makina ay tumatanggap ng mga tagubilin upang magtatag ng komunikasyon sa isang hiwalay na hanay ng mga server na kilala bilang pangalawang yugto ng C2 server. Sa kanilang pagsisiyasat, natukoy ng mga mananaliksik sa seguridad ang kabuuang 15 second-stage na control server. Ang mga server na ito ay gumagana mula noong hindi bababa sa Oktubre 2021, ayon sa tinutukoy ng x.509 na impormasyon ng certificate.

Itinatampok ng pagkakaroon ng mga server na ito ng pangalawang yugto ng C2 ang sopistikadong imprastraktura at organisasyong ginagamit ng mga banta sa likod ng malware. Higit nitong binibigyang-diin ang mga hamon na kinakaharap ng mga eksperto sa cybersecurity sa paglaban at pagpapagaan sa epekto ng paulit-ulit at mailap na botnet na ito.

Ang mga nakompromisong SOHO Device ay maaaring humantong sa mga malubhang kahihinatnan

Sa isang binding operational directive (BOD) na inilabas kamakailan ng Cybersecurity and Infrastructure Security Agency (CISA), ang mga pederal na ahensya ng US ay inatasan na gumawa ng agarang aksyon upang ma-secure ang Internet-exposed na networking equipment, kabilang ang mga SOHO router. Ang direktiba na ito ay nangangailangan ng mga pederal na ahensya na patibayin ang mga device na ito sa loob ng 14 na araw ng pagkatuklas upang maiwasan ang mga potensyal na pagtatangka sa paglabag.

Ang dahilan sa likod ng pangangailangang ito ay ang isang matagumpay na kompromiso ng mga naturang device ay magbibigay sa mga aktor ng pagbabanta ng kakayahang isama ang mga nakompromisong router sa kanilang imprastraktura ng pag-atake. Ito naman, ay magsisilbing launchpad para sa lateral na paggalaw sa mga panloob na network ng mga target na entity, gaya ng idiniin ng CISA sa kanilang babala.

Ang paggamit ng AVrecon ng mga aktor ng pagbabanta ay nagsisilbi ng dalawang layunin: pag-proxy ng trapiko at pagsali sa mga masasamang aktibidad tulad ng pag-spray ng password. Ang natatanging modus operandi na ito ay nagbubukod dito sa aming mga nakaraang pagtuklas ng router-based na malware, na pangunahing nakatuon sa direktang pag-target sa network.

Ang gravity ng banta na ito ay nagmumula sa katotohanan na ang mga SOHO router ay karaniwang gumagana sa labas ng conventional security perimeter. Dahil dito, ang kakayahan ng mga tagapagtanggol na makakita ng mga hindi ligtas na aktibidad ay makabuluhang nababawasan. Itinatampok ng sitwasyong ito ang kritikal na kahalagahan ng agarang pag-secure ng mga device na ito upang mabawasan ang panganib ng mga potensyal na paglabag at mapahusay ang pangkalahatang seguridad ng network.