AVrecon 殭屍網絡惡意軟件

從 2021 年 5 月起，一種名為 AVrecon 的高度隱蔽的 Linux 惡意軟件已被用來滲透到超過 70,000 個在基於 Linux 的系統上運行的小型辦公室/家庭辦公室 (SOHO) 路由器。然後，這些受感染的路由器被納入殭屍網絡，具有雙重目的：竊取帶寬和建立隱蔽的住宅代理服務。據信息安全專家稱，在 AVrecon 入侵的 70,000 台設備中，約有 40,000 台設備被納入殭屍網絡。

通過利用該殭屍網絡，AVrecon 的運營者可以有效地隱藏一系列有害活動。這些活動涵蓋範圍廣泛，從欺詐性數字廣告計劃到密碼噴射攻擊。隱藏的住宅代理服務的可用性為他們提供了一種匿名化操作的方法，並利用受損的網絡基礎設施來進行不被發現的邪惡活動。

AVrecon 惡意軟件在被入侵的設備上靜默運行

自 2021 年 5 月首次檢測以來，AVrecon 已展現出卓越的逃避檢測能力。它最初以 Netgear 路由器為目標，並在兩年多的時間裡一直未被發現，並通過誘捕新的機器人穩步擴大其影響範圍。這種持續增長使其成為近年來針對小型辦公室/家庭辦公室 (SOHO) 路由器的最大殭屍網絡之一。

該惡意軟件背後的威脅行為者似乎在戰略上專注於利用用戶不太可能針對已知漏洞和暴露 (CVE) 進行修補的 SOHO 設備。通過採取更加謹慎的方法，操作員能夠長時間秘密操作，躲過檢測兩年多。惡意軟件的隱蔽性意味著受感染設備的所有者很少會遇到明顯的服務中斷或帶寬丟失，從而進一步使殭屍網絡能夠持續不被發現。

一旦路由器被感染，惡意軟件就會將受感染設備的信息傳輸到嵌入式命令與控制 (C2) 服務器。隨後，被黑客攻擊的機器收到指令，與一組單獨的服務器（稱為第二階段 C2 服務器）建立通信。在調查過程中，安全研究人員總共發現了 15 個第二階段控制服務器。根據 x.509 證書信息確定，這些服務器至少自 2021 年 10 月起一直在運行。

這些第二階段 C2 服務器的存在凸顯了惡意軟件背後的威脅行為者所採用的複雜基礎設施和組織。它進一步強調了網絡安全專家在對抗和減輕這種持續且難以捉摸的殭屍網絡的影響方面所面臨的挑戰。

SOHO 設備受損可能導致嚴重後果

在網絡安全和基礎設施安全局 (CISA) 最近發布的一項具有約束力的操作指令 (BOD) 中，美國聯邦機構被授權立即採取行動，以保護暴露於互聯網的網絡設備（包括 SOHO 路由器）的安全。該指令要求聯邦機構在發現這些設備後 14 天內加固這些設備，以防止潛在的違規嘗試。

這種緊迫性背後的原因是，成功入侵此類設備將使威脅行為者能夠將受感染的路由器合併到其攻擊基礎設施中。正如 CISA 在警告中所強調的那樣，這反過來將成為橫向進入目標實體內部網絡的啟動平台。

威脅行為者利用 AVrecon 有雙重目的：代理流量和從事密碼噴灑等邪惡活動。這種獨特的作案手法使其與我們之前發現的基於路由器的惡意軟件有所不同，後者主要針對直接網絡目標。

這種威脅的嚴重性源於 SOHO 路由器通常在傳統安全範圍之外運行的事實。因此，防御者發現不安全活動的能力大大減弱。這種情況凸顯了及時保護這些設備以降低潛在違規風險並增強整體網絡安全性的至關重要性。