AVrecon 僵尸网络恶意软件

从 2021 年 5 月起，一种名为 AVrecon 的高度隐蔽的 Linux 恶意软件已被用来渗透到超过 70,000 个在基于 Linux 的系统上运行的小型办公室/家庭办公室 (SOHO) 路由器。然后，这些受感染的路由器被纳入僵尸网络，具有双重目的：窃取带宽和建立隐蔽的住宅代理服务。据信息安全专家称，在 AVrecon 入侵的 70,000 台设备中，约有 40,000 台设备被纳入僵尸网络。

通过利用该僵尸网络，AVrecon 的运营者可以有效地隐藏一系列有害活动。这些活动涵盖范围广泛，从欺诈性数字广告计划到密码喷射攻击。隐藏的住宅代理服务的可用性为他们提供了一种匿名化操作的方法，并利用受损的网络基础设施来进行不被发现的邪恶活动。

AVrecon 恶意软件在被入侵的设备上静默运行

自 2021 年 5 月首次检测以来，AVrecon 已展现出卓越的逃避检测能力。它最初以 Netgear 路由器为目标，并在两年多的时间里一直未被发现，并通过诱捕新的机器人稳步扩大其影响范围。这种持续增长使其成为近年来针对小型办公室/家庭办公室 (SOHO) 路由器的最大僵尸网络之一。

该恶意软件背后的威胁行为者似乎在战略上专注于利用用户不太可能针对已知漏洞和暴露 (CVE) 进行修补的 SOHO 设备。通过采取更加谨慎的方法，操作员能够长时间秘密操作，躲过检测两年多。恶意软件的隐蔽性意味着受感染设备的所有者很少会遇到明显的服务中断或带宽丢失，从而进一步使僵尸网络能够持续不被发现。

一旦路由器被感染，恶意软件就会将受感染设备的信息传输到嵌入式命令与控制 (C2) 服务器。随后，被黑客攻击的机器收到指令，与一组单独的服务器（称为第二阶段 C2 服务器）建立通信。在调查过程中，安全研究人员总共发现了 15 个第二阶段控制服务器。根据 x.509 证书信息确定，这些服务器至少自 2021 年 10 月起一直在运行。

这些第二阶段 C2 服务器的存在凸显了恶意软件背后的威胁行为者所采用的复杂基础设施和组织。它进一步强调了网络安全专家在对抗和减轻这种持续且难以捉摸的僵尸网络的影响方面所面临的挑战。

SOHO 设备受损可能导致严重后果

在网络安全和基础设施安全局 (CISA) 最近发布的一项具有约束力的操作指令 (BOD) 中，美国联邦机构被授权立即采取行动，以保护暴露于互联网的网络设备（包括 SOHO 路由器）的安全。该指令要求联邦机构在发现这些设备后 14 天内加固这些设备，以防止潜在的违规尝试。

这种紧迫性背后的原因是，成功入侵此类设备将使威胁行为者能够将受感染的路由器合并到其攻击基础设施中。正如 CISA 在警告中所强调的那样，这反过来将成为横向进入目标实体内部网络的启动平台。

威胁行为者利用 AVrecon 有双重目的：代理流量和从事密码喷洒等邪恶活动。这种独特的作案手法使其与我们之前发现的基于路由器的恶意软件有所不同，后者主要针对直接网络目标。

这种威胁的严重性源于 SOHO 路由器通常在传统安全范围之外运行的事实。因此，防御者发现不安全活动的能力大大减弱。这种情况凸显了及时保护这些设备以降低潜在违规风险并增强整体网络安全性的至关重要性。