SOHO ruter Botnet AVrecon je kompromitovao 70.000 uređaja u 20 zemalja

Novi SOHO ruter Botnet AVrecon je kompromitovao 70.000 uređaja u 20 zemalja i stvarajući botnet sa 40.000 čvorova. Sigurnosni istraživači kažu da je riječ o novom uzorku zlonamjernog softvera koji tajno cilja na rutere koji funkcionišu u malim kancelarijama i kućnim kancelarijama (eng. small office/home office – SOHO) više od dvije godine.

botnet

SOHO ruter Botnet AVrecon je kompromitovao 70.000 uređaja u 20 zemalja; Source: Wallpapercave

Kampanja

Sigurnosni istraživači su uspjeli da identifikuju još jednu višegodišnju kampanju koja uključuje kompromitovanje rutera širom sveta. Ovo je složena operacija koja inficira rutere malih kancelarija i kućnih kancelarija (SOHO), postavljajući Linux baziran trojanac za daljinski pristup (RAT) koji je nazvan AVrecon. Osim jedne detekcije u maju 2021. godine, ovaj zlonamjerni softver je funkcionisao neotkriven više od dvije godine.

Čini se da je svrha kampanje stvaranje prikrivene mreže koja bi tiho omogućila niz kriminalnih aktivnosti od prskanja lozinki (eng. password spraying) do prevare u digitalnom oglašavanju. Zbog skrivene prirode zlonamjernog softvera, korisnici zaraženih uređaja rijetko primjenjuju bilo kakav prekid usluge ili gubitak Internet brzine.

Ova procjena je zasnovana na posmatranoj telemetriji i analizi funkcionalnosti u binarnom sistemu koji omogućava napadaču da komunicira sa udaljenim komandnim okruženjem i primljeni binarne datoteke. Sigurnosni istraživači su utvrdili sastav mreže koja se infiltrirala u više od 70.000 uređaja, dobijajući kontrolu na više od 40.000 IP adresa u više od 20 zemalja. Upotreba enkripcije sprečava istraživanje uspješnih pokušaja prskanja lozinkom, ali su uspjeli analizirati botnet.

Američka agencija za sajber bezbjednost i bezbjednost infrastrukture (CISA) je 13. juna 2023. godine upozorila korisnike da iskorištavanje mrežnih uređaja kao što su SOHO ruteri može omogućiti napadačima da uspostave infrastrukturu pod svojom kontrolom na globalnom nivou ili dobiju neograničen pristup organizacionim mrežama.

Ovo je ozbiljna prijetnja, jer ovi uređaji obično funkcionišu izvan tradicionalnog bezbjednosnog perimetra, što značajno smanjuje mogućnost otkrivanja zlonamjerne aktivnosti. Ovo je treći slučaj zlonamjernog softvera koji se fokusira na SOHO uređaje nakon prethodno identifikovanih ZuoRAT i HiatusRAT zlonamjernih softvera u posljednjih godinu dana.

 

Botnet Avrecon

AVrecon je napisan na C programskom jeziku što mu omogućava prenosivost, a kompajliran je za različite arhitekture. Prilikom infekcije uređaja zlonamjerni softver provjerava da li je port 48102 zauzet i pokušava da se poveže preo tog porta. Ukoliko se veza ostvari, zlonamjerni softver evidentira ID procesa. Ukoliko je port 48102 zauzet i ID procesa ne odgovara evidentiranom, onda zlonamjerni softver gasi svaki proces koji koristi taj port.

U narednom koraku Avrecon zlonamjerni softver prikuplja informacije uključujući ime uređaja, procesor, upotrebu memorije i slično. Kada dobije ono što mu je potrebno, unaprijed izgrađene funkcije stvaraju udaljeno komandno okruženje za izvršavanje komandi, preuzimanje novih binarnih datoteka i konfigurisanje proxy servera.

Na kraju zlonamjerni softver počinje da konstruiše C2 parametre, pa iako se isporučuje sa ugrađenom konfiguracijom za C2 komunikaciju, on prvo provjerava da li konfiguracija već postoji na zaraženom uređaju iz prethodnih komunikacija, ako ne, koristi parametre za C2 poslat u konfiguraciji zlonamjernog softvera. Kada se uspostavi komunikacija sa C2, odgovor je serija komandi, koja će na kraju omogućiti uspostavljanje veze sa dodatnim C2 serverom, koji je u ovom slučaju nazvan C2 server druge faze.

Analiza je pokazala da se inficirani uređaji koriste za klikanje na različite Facebook i Google reklama, kao i Microsoft Outlook interakciju. Pretpostavlja se da je prva aktivnost dio pokušaja prevare u reklamiranju, a druga aktivnost je vjerovatno se koristi za prskanje lozinki i izvlačenje podataka.

 

Zaštita

Evo osnovnih bezbjednosnih mjera za zaštitu rutera i mreže:

  • Koristiti jake i sigurne lozinke za administrativni pristup ruteru.
  • Redovno ažurirati upravljački softver rutera na najnoviju verziju.
  • Aktivirati mrežnu barijeru (eng. firewall) na ruteru radi poboljšane zaštite.
  • Prilikom korištenja javne Wi-Fi mreže, koristiti VPN.
  • Korisnici treba da budu oprezni kada rukuju prilozima elektronske pošte, posjećuju. sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.

 

Zaključak

Ozbiljnost ove prijetnje proizilazi iz činjenice da SOHO ruteri koji se koriste u organizacijama i domovima nisu pravilno ažurirani, stoga napadači koriste prednosti takvih bezbjednosnih propusta da probiju kritičnu infrastrukturu ili pokrenu DDoS napade.

Korisnici i organizacije moraju preduzeti neophodne korake da poprave ranjivosti u mrežnoj opremi, jer se napad uglavnom fokusira na krađu propusnog opsega – bez uticaja na krajnje korisnike – kako bi se stvorila proxy usluga koja bi pomogla u sakrivanju zlonamjerne aktivnosti i izbjegla privlačenje istog nivoa pažnje sa skrivenih Tor servisa ili komercijalno dostupnih VPN usluga.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.