Το AVrecon malware έχει μολύνει 70.000 Linux routers για τη δημιουργία ενός botnet.
Τουλάχιστον από τον Μάιο του 2021, ένα αθόρυβο Linux malware με την ονομασία AVrecon έχει χρησιμοποιηθεί για να μολύνει πάνω από 70.000 routers μικρών γραφείων/οικιακών γραφείων (SOHO) που βασίζονται σε Linux σε ένα botnet που έχει σχεδιαστεί για να κλέβει bandwidth και να παρέχει μια κρυφή υπηρεσία residential proxy.
Δείτε επίσης: Akira ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi
Δείτε επίσης: Το νέο ελάττωμα πυρήνα StackRot Linux επιτρέπει την κλιμάκωση των προνομίων
Αυτό επιτρέπει στους χειριστές του να κρύβουν ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, που κυμαίνονται από απάτη με ψηφιακή διαφήμιση μέχρι password spraying.
Σύμφωνα με την ομάδα έρευνας απειλών της Lumen’s Black Lotus Labs, ενώ το AVrecon remote access trojan (RAT) είχε θέσει σε κίνδυνο πάνω από 70.000 συσκευές, μόνο 40.000 προστέθηκαν στο botnet αφού απέκτησε ανθεκτικότητα.
Το malware έχει καταφέρει σε μεγάλο βαθμό να αποφύγει την ανίχνευση από τότε που εντοπίστηκε για πρώτη φορά τον Μάιο του 2021, όταν στόχευε Netgear routers. Έκτοτε, παρέμεινε απαρατήρητο για πάνω από δύο χρόνια, παγιδεύοντας σιγά-σιγά νέα bots και εξελισσόμενο σε ένα από τα μεγαλύτερα botnets με στόχο SOHO router που έχουν ανακαλυφθεί τα τελευταία χρόνια.
Μόλις μολυνθεί, το malware στέλνει τις πληροφορίες του μολυσμένου router σε έναν ενσωματωμένο command-and-control (C2) server. Αφού έρθει σε επαφή, το παραβιασμένο μηχάνημα λαμβάνει εντολή να εγκαθιδρύσει επικοινωνία με μια ανεξάρτητη ομάδα server, γνωστή ως διακομιστές C2 δεύτερου σταδίου.
Οι ερευνητές ασφαλείας εντόπισαν 15 τέτοιους servers ελέγχου δεύτερου σταδίου, οι οποίοι λειτουργούν τουλάχιστον από τον Οκτώβριο του 2021, βάσει πληροφοριών πιστοποιητικού x.509.
Η ομάδα ασφαλείας Black Lotus της Lumen αντιμετώπισε και την απειλή AVrecon με null-routing του command-and-control (C2) server του botnet μέσω του backbone network της.
Με τον τρόπο αυτό διακόπηκε αποτελεσματικά η σύνδεση μεταξύ του κακόβουλου botnet και του central control server του, παρεμποδίζοντας σημαντικά την ικανότητά του να εκτελεί επιβλαβείς δραστηριότητες.
Δείτε επίσης: Rekoobe Malware: Στοχεύει ευάλωτους Linux servers
Σε μια πρόσφατα εκδοθείσα δεσμευτική επιχειρησιακή οδηγία (BOD) που δημοσιεύθηκε τον περασμένο μήνα, η CISA διέταξε τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να ασφαλίσουν τον εξοπλισμό δικτύωσης που εκτίθεται στο Διαδίκτυο -συμπεριλαμβανομένων των SOHO routers- εντός 14 ημερών από την ανακάλυψή του, για να εμποδίσουν πιθανές απόπειρες παραβίασης.
Η επιτυχής παραβίαση αυτών των συσκευών θα επέτρεπε στους απειλητικούς παράγοντες να προσθέσουν τους παραβιασμένους routers στην υποδομή των επιθέσεών τους και να τους παράσχουν ένα εφαλτήριο για πλευρική μετακίνηση σε εσωτερικά δίκτυα, όπως προειδοποίησε η CISA.
Η σοβαρότητα αυτής της απειλής πηγάζει από το γεγονός ότι οι SOHO routers συνήθως βρίσκονται πέρα από τα όρια της συμβατικής περιμέτρου ασφαλείας, μειώνοντας σημαντικά την ικανότητα του defender να εντοπίζει κακόβουλες δραστηριότητες.
Η κινεζική ομάδα κυβερνοκατασκοπείας Volt Typhoon χρησιμοποίησε παρόμοια τακτική για να δημιουργήσει ένα κρυφό proxy network από παραβιασμένο εξοπλισμό δικτύου ASUS, Cisco, D-Link, Netgear, FatPipe και Zyxel SOHO για να κρύψει την κακόβουλη δραστηριότητά τους εντός της νόμιμης κυκλοφορίας δικτύου, σύμφωνα με κοινό advisory που δημοσιεύθηκε από τις υπηρεσίες κυβερνοασφάλειας Five Eyes (συμπεριλαμβανομένων των FBI, NSA και CISA) τον Μάιο.
Το μυστικό proxy network χρησιμοποιείται από Κινέζους κρατικούς χάκερ για να στοχεύουν οργανισμούς υποδομής ζωτικής σημασίας στις Ηνωμένες Πολιτείες τουλάχιστον από τα μέσα του 2020.
Πηγή πληροφοριών: bleepingcomputer.com
