Giảm giá nhiều giấy phép
Threat Database Malware Phần mềm độc hại AVrecon Botnet

Phần mềm độc hại AVrecon Botnet

Đến năm Mezo năm Malware, Botnets
Dịch sang:
Tiếng Việt Nam

Từ tháng 5 năm 2021 trở đi, một phần mềm độc hại Linux có tính bí mật cao được gọi là AVrecon đã được sử dụng để xâm nhập vào hơn 70.000 bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) hoạt động trên các hệ thống dựa trên Linux. Các bộ định tuyến bị xâm phạm này sau đó được tích hợp vào mạng botnet, phục vụ mục đích kép: ăn cắp băng thông và thiết lập dịch vụ proxy dân cư được che giấu. Theo các chuyên gia infosec, trong số 70 000 thiết bị bị AVrecon xâm nhập, khoảng 40 000 thiết bị đã được tích hợp vào mạng botnet.

Bằng cách sử dụng mạng botnet này, những người điều hành AVrecon có thể che giấu một cách hiệu quả một loạt các hoạt động có hại. Các hoạt động này bao gồm một phạm vi rộng, từ các kế hoạch quảng cáo kỹ thuật số lừa đảo đến các cuộc tấn công rải mật khẩu. Tính khả dụng của dịch vụ proxy dân cư ẩn cung cấp cho họ phương tiện để ẩn danh các hoạt động của họ và khai thác cơ sở hạ tầng mạng bị xâm nhập để thực hiện các hoạt động bất chính của họ mà không bị phát hiện.

Phần mềm độc hại AVrecon hoạt động âm thầm trên các thiết bị bị vi phạm

Kể từ lần phát hiện đầu tiên vào tháng 5 năm 2021, AVrecon đã thể hiện khả năng vượt qua sự phát hiện vượt trội. Ban đầu, nó nhắm mục tiêu vào các bộ định tuyến Netgear và cố gắng không bị phát hiện trong hơn hai năm, dần dần mở rộng phạm vi hoạt động của mình bằng cách gài bẫy các bot mới. Sự tăng trưởng không ngừng này đã đẩy nó trở thành một trong những mạng botnet lớn nhất nhắm mục tiêu vào các bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) trong thời gian gần đây.

Các tác nhân đe dọa đằng sau phần mềm độc hại này dường như đã tập trung một cách chiến lược vào việc khai thác các thiết bị SOHO mà người dùng ít có khả năng vá các lỗ hổng và mức độ phơi nhiễm đã biết (CVE). Bằng cách áp dụng một cách tiếp cận thận trọng hơn, những người điều hành đã có thể hoạt động lén lút trong một thời gian dài, tránh bị phát hiện trong hơn hai năm. Bản chất lén lút của phần mềm độc hại có nghĩa là chủ sở hữu của các thiết bị bị nhiễm hiếm khi gặp phải sự cố gián đoạn dịch vụ hoặc mất băng thông đáng chú ý, điều này càng cho phép botnet tồn tại mà không bị phát hiện.

Sau khi bộ định tuyến bị nhiễm, phần mềm độc hại sẽ tiến hành truyền thông tin của thiết bị bị xâm nhập đến máy chủ Command-and-Control (C2) được nhúng. Sau đó, máy bị tấn công nhận hướng dẫn thiết lập liên lạc với một nhóm máy chủ riêng biệt được gọi là máy chủ C2 giai đoạn hai. Trong quá trình điều tra, các nhà nghiên cứu bảo mật đã xác định được tổng cộng 15 máy chủ kiểm soát giai đoạn hai. Các máy chủ này đã hoạt động ít nhất từ tháng 10 năm 2021, như được xác định bởi thông tin chứng chỉ x.509.

Sự hiện diện của các máy chủ C2 giai đoạn hai này làm nổi bật cơ sở hạ tầng và tổ chức tinh vi được sử dụng bởi các tác nhân đe dọa đằng sau phần mềm độc hại. Nó nhấn mạnh thêm những thách thức mà các chuyên gia an ninh mạng phải đối mặt trong việc chống lại và giảm thiểu tác động của mạng botnet dai dẳng và khó nắm bắt này.

Các thiết bị SOHO bị xâm phạm có thể dẫn đến hậu quả nghiêm trọng

Trong một chỉ thị hoạt động ràng buộc (BOD) do Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) ban hành gần đây, các cơ quan liên bang Hoa Kỳ đã được giao nhiệm vụ hành động ngay lập tức để bảo vệ thiết bị mạng tiếp xúc với Internet, bao gồm cả bộ định tuyến SOHO. Chỉ thị này yêu cầu các cơ quan liên bang củng cố các thiết bị này trong vòng 14 ngày kể từ ngày phát hiện để ngăn chặn các nỗ lực vi phạm tiềm ẩn.

Lý do đằng sau sự cấp bách này là sự xâm nhập thành công của các thiết bị như vậy sẽ cấp cho các tác nhân đe dọa khả năng kết hợp các bộ định tuyến bị xâm phạm vào cơ sở hạ tầng tấn công của chúng. Đến lượt nó, điều này sẽ đóng vai trò là bệ phóng cho sự di chuyển ngang vào các mạng nội bộ của các thực thể mục tiêu, như CISA đã nhấn mạnh trong cảnh báo của họ.

Việc các tác nhân đe dọa sử dụng AVrecon phục vụ mục đích kép: ủy quyền lưu lượng truy cập và tham gia vào các hoạt động bất chính như rải mật khẩu. Phương thức hoạt động riêng biệt này làm cho nó khác biệt với những khám phá trước đây của chúng tôi về phần mềm độc hại dựa trên bộ định tuyến, chủ yếu tập trung vào nhắm mục tiêu mạng trực tiếp.

Mức độ nghiêm trọng của mối đe dọa này phát sinh từ thực tế là các bộ định tuyến SOHO thường hoạt động bên ngoài vành đai bảo mật thông thường. Do đó, khả năng của những người bảo vệ trong việc phát hiện các hoạt động không an toàn bị giảm đi đáng kể. Tình huống này nhấn mạnh tầm quan trọng của việc nhanh chóng bảo mật các thiết bị này để giảm thiểu nguy cơ vi phạm tiềm ẩn và tăng cường an ninh mạng tổng thể.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...