{"id":5165,"date":"2023-07-30T00:31:03","date_gmt":"2023-07-29T22:31:03","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5165"},"modified":"2023-07-30T00:31:03","modified_gmt":"2023-07-29T22:31:03","slug":"soho-ruter-botnet-avrecon-je-kompromitovao-70-000-uredjaja-u-20-zemalja","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/07\/30\/soho-ruter-botnet-avrecon-je-kompromitovao-70-000-uredjaja-u-20-zemalja\/","title":{"rendered":"SOHO ruter Botnet AVrecon je kompromitovao 70.000 ure\u0111aja u 20 zemalja"},"content":{"rendered":"

Novi SOHO<\/em> ruter Botnet<\/em> AVrecon<\/em> je kompromitovao 70.000 ure\u0111aja u 20 zemalja i stvaraju\u0107i botnet<\/em> sa 40.000 \u010dvorova. Sigurnosni istra\u017eiva\u010di ka\u017eu da je rije\u010d o novom uzorku zlonamjernog softvera<\/a> koji tajno cilja na rutere koji funkcioni\u0161u u malim kancelarijama i ku\u0107nim kancelarijama (eng. small office\/home office \u2013 SOHO<\/em>) vi\u0161e od dvije godine.<\/span><\/p>\n

\"botnet\"

SOHO ruter Botnet AVrecon je kompromitovao 70.000 ure\u0111aja u 20 zemalja; Source: Wallpapercave<\/em><\/p><\/div>\n

Kampanja<\/strong><\/span><\/h2>\n

Sigurnosni istra\u017eiva\u010di su uspjeli da identifikuju jo\u0161 jednu vi\u0161egodi\u0161nju kampanju<\/a> koja uklju\u010duje kompromitovanje rutera \u0161irom sveta. Ovo je slo\u017eena operacija koja inficira rutere malih kancelarija i ku\u0107nih kancelarija (SOHO<\/em>), postavljaju\u0107i Linux<\/em> baziran trojanac<\/a> za daljinski pristup (RAT<\/em>) koji je nazvan AVrecon<\/em>. Osim jedne detekcije u maju 2021. godine, ovaj zlonamjerni softver je funkcionisao neotkriven vi\u0161e od dvije godine.<\/span><\/p>\n

\u010cini se da je svrha kampanje stvaranje prikrivene mre\u017ee koja bi tiho omogu\u0107ila niz kriminalnih aktivnosti od prskanja lozinki<\/a> (eng. password spraying<\/em>) do prevare u digitalnom ogla\u0161avanju. Zbog skrivene prirode zlonamjernog softvera, korisnici zara\u017eenih ure\u0111aja rijetko primjenjuju bilo kakav prekid usluge ili gubitak Internet brzine.<\/span><\/p>\n

Ova procjena je zasnovana na posmatranoj telemetriji i analizi funkcionalnosti u binarnom sistemu koji omogu\u0107ava napada\u010du da komunicira sa udaljenim komandnim okru\u017eenjem i primljeni binarne datoteke. Sigurnosni istra\u017eiva\u010di su utvrdili sastav mre\u017ee koja se infiltrirala u vi\u0161e od 70.000 ure\u0111aja, dobijajuc\u0301i kontrolu na vi\u0161e od 40.000 IP<\/em> adresa u vi\u0161e od 20 zemalja. Upotreba enkripcije spre\u010dava istra\u017eivanje uspje\u0161nih poku\u0161aja prskanja lozinkom, ali su uspjeli analizirati botnet<\/em><\/a>.<\/span><\/p>\n

Ameri\u010dka agencija za sajber bezbjednost i bezbjednost infrastrukture (CISA<\/em>) je 13. juna 2023. godine upozorila korisnike da iskori\u0161tavanje mre\u017enih ure\u0111aja kao \u0161to su SOHO<\/em> ruteri mo\u017ee omogu\u0107iti napada\u010dima da uspostave infrastrukturu pod svojom kontrolom na globalnom nivou ili dobiju neograni\u010den pristup organizacionim mre\u017eama.<\/span><\/p>\n

Ovo je ozbiljna prijetnja, jer ovi ure\u0111aji obi\u010dno funkcioni\u0161u izvan tradicionalnog bezbjednosnog perimetra, \u0161to zna\u010dajno smanjuje mogu\u0107nost otkrivanja zlonamjerne aktivnosti. Ovo je tre\u0107i slu\u010daj zlonamjernog softvera koji se fokusira na SOHO<\/em> ure\u0111aje nakon prethodno identifikovanih ZuoRAT<\/em> i HiatusRAT<\/em><\/a> zlonamjernih softvera u posljednjih godinu dana.<\/span><\/p>\n

 <\/p>\n

Botnet Avrecon<\/em><\/strong><\/span><\/h3>\n

AVrecon<\/em> je napisan na C<\/em> programskom jeziku \u0161to mu omogu\u0107ava prenosivost, a kompajliran je za razli\u010dite arhitekture. Prilikom infekcije ure\u0111aja zlonamjerni softver provjerava da li je port 48102<\/em> zauzet i poku\u0161ava da se pove\u017ee preo tog porta. Ukoliko se veza ostvari, zlonamjerni softver evidentira ID<\/em> procesa. Ukoliko je port 48102<\/em> zauzet i ID<\/em> procesa ne odgovara evidentiranom, onda zlonamjerni softver gasi svaki proces koji koristi taj port.<\/span><\/p>\n

U narednom koraku Avrecon<\/em> zlonamjerni softver prikuplja informacije uklju\u010duju\u0107i ime ure\u0111aja, procesor, upotrebu memorije i sli\u010dno. Kada dobije ono \u0161to mu je potrebno, unaprijed izgra\u0111ene funkcije stvaraju udaljeno komandno okru\u017eenje za izvr\u0161avanje komandi, preuzimanje novih binarnih datoteka i konfigurisanje proxy<\/em> servera.<\/span><\/p>\n

Na kraju zlonamjerni softver po\u010dinje da konstrui\u0161e C2<\/em> parametre, pa iako se isporu\u010duje sa ugra\u0111enom konfiguracijom za C2<\/em> komunikaciju, on prvo provjerava da li konfiguracija ve\u0107 postoji na zara\u017eenom ure\u0111aju iz prethodnih komunikacija, ako ne, koristi parametre za C2<\/em> poslat u konfiguraciji zlonamjernog softvera. Kada se uspostavi komunikacija sa C2<\/em>, odgovor je serija komandi, koja \u0107e na kraju omogu\u0107iti uspostavljanje veze sa dodatnim C2<\/em> serverom, koji je u ovom slu\u010daju nazvan C2<\/em> server druge faze.<\/span><\/p>\n

Analiza je pokazala da se inficirani ure\u0111aji koriste za klikanje na razli\u010dite Facebook<\/em> i Google<\/em> reklama, kao i Microsoft Outlook<\/em> interakciju. Pretpostavlja se da je prva aktivnost dio poku\u0161aja prevare u reklamiranju, a druga aktivnost je vjerovatno se koristi za prskanje lozinki i izvla\u010denje podataka.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h4>\n

Evo osnovnih bezbjednosnih mjera za za\u0161titu rutera i mre\u017ee:<\/span><\/p>\n