AVrecon за SOHO – 70к рутера са засегнати
Неотдавна се появи нов щам на зловреден софтуер, наречен AVrecon, който в продължение на повече от две години безшумно заразява рутери в офиси и домашни мрежи – SOHO. С над 70 000 компрометирани устройства в 20 държави този ботнет се превърна в една от най-големите известни заплахи за SOHO рутерите. Лабораториите Lumen Black Lotus Labs разкриха AVrecon, хвърляйки светлина върху неговите дейности, цел и глобален обхват.
Проникване и скрито създаване на мрежи
AVrecon се присъединява към редиците на ZuoRAT и HiatusRAT като третия щам на malware, насочен към SOHO рутери през изминалата година. Според Lumen целта му е да създаде скрита мрежа, способна да улесни различни престъпни дейности, включително разпространение на пароли и измами с дигитална реклама. Това откритие бележи значителен етап в сферата на ботнетите, насочени към SOHO рутери.
Глобално въздействие и разпространение
Разпространението на този malware се концентрира предимно в Обединеното кралство и Съединените щати, като са засегнати също Аржентина, Нигерия, Бразилия, Италия, Бангладеш, Виетнам, Индия, Русия и Южна Африка. Това широко разпространение показва глобалния обхват на AVrecon и подчертава спешната необходимост от засилени мерки за сигурност на рутерите в световен мащаб.
Верига от скрити атаки с AVrecon
AVrecon успява да остане скрит в системата засега, което го прави опасна и скрита заплаха. Изследването на Lumen описва подробно веригата на атаката, като се започне с успешното заразяване и последващото изброяване на SOHO рутера на жертвата. След това събраната информация се ексфилтрира към вграден сървър за командване и контрол – C2.
Уникална структура на C2
Компрометираните системи установяват контакт с 15 различни сървъра, определени като вторични C2 сървъри. Тези сървъри са активни поне от октомври 2021 г., следвайки модела на многостепенна C2 инфраструктура, който обикновено се наблюдава в известни ботнети като Emotet и QakBot.
AVrecon – написан на Ц програме език, заобикаля ефективно системите за сигурност
AVrecon е кодиран на езика за програмиране C, което позволява лесна преносимост между различни мрежи. Освен това успехът му може да се дължи отчасти на използването основно на крайни мрежи, в които липсва стабилна поддръжка на сигурността. Този инфраструктурен пропуск позволява на зловредния софтуер да работи незабелязано, което затруднява ограничаването на заплахата.
Дейности с двойно предназначение
Доказателствата сочат, че AVrecon участва в две основни дейности: взаимодействие с различни реклами във Facebook и Google и достъп до Microsoft Outlook. Тези действия показват двупосочни усилия, включващи измами с реклами и потенциална ексфилтрация на данни. Чрез кражба на честотна лента и работа като прокси услуга за домашни потребители, AVrecon се опитва да избегне откриването от услугите, заложени в Tor, или от търговските доставчици на VPN услуги.
AVrecon е основна заплаха за SOHO рутерите в световен мащаб, тъй като е широко разпространен, има скрита мрежа и използва крайни мрежи като основна цел. За да се предпазят от този malware, физическите лица и организациите трябва да дадат приоритет на своята киберсигурност и защита на рутерите си, да приложат строги мерки за сигурност и да останат винаги нащрек по отношение на развиващите се киберзаплахи.
