بدافزار جدید Avrecon، بطور مخفیانه روترهای اداری/دفتر خانگی کوچک (SOHO) را مورد هدف قرار داده است. این بدافزار اولین بار در می 2021 مشاهده شد و بیش از دو سال است که بدون شناسایی کار می کند و به بیش از 70000 دستگاه نفوذ کرده و یک بات نت با 40000 در 20 کشور ایجاد می کند.
در زنجیره حملات این بدافزار، یک عفونت موفقیت آمیز با شمارش روتر SOHO قربانی اعمال شده و استخراج اطلاعات آن به یک سرور فرمان و کنترل تعبیه شده (C2) انجام می شود. همچنین، با جستجوی فرآیندهای موجود در پورت 48102 و بازکردن شنونده در آن پورت، اجرای نمونه های دیگر بدافزار روی میزبان را بررسی می کند و یک فرآیند محدود به آن پورت خاتمه می¬یابد. مرحله بعدی، برقراری ارتباط سیستم در معرض خطر با یک سرور جداگانه به نام سرور C2 ثانویه است، تا منتظر دستورات بعدی باشد.
Avrecon به زبان برنامه نویسی C نوشته شده است و پورت کردن بدافزار برای معماری های مختلف را آسان می کند. علاوه بر این، یک دلیل مهم برای کارآمد بودن چنین حملاتی این است که از زیرساخت های زندگی در لبه هایی استفاده می کنند که از راه حل های امنیتی پشتیبانی نمی کنند.
شواهد موجود نشان می دهد که بات نت برای کلیک کردن بر روی تبلیغات مختلف فیس بوک و گوگل و برای تعامل باMicrosoft Outlook استفاده می شود. این عامل، بیانگر تلاش دوجانبه برای انجام تقلب تبلیغاتی و استخراج داده ها است.
شیوه حمله این بدافزار، شستشوی فعالیت های مخرب با سرقت پهنای باند، بدون تاثیرگذاری بر روی کاربران نهایی است که برای ایجاد یک سرویس پروکسی خانگی و دسترسی به همان سطح خدمات تجاری VPN، متمرکز است.
دلیل موفقیت این گروه حملاتی این است که ماشین های هدف، راه حل های استاندارد تشخیص نقطه پایانی و پاسخ (ERD) را ارائه نمی دهند. مهاجمان ممکن است بر روی دستگاه های نوع SOHO که کاربران کمتر در برابر آسیبپذیریها و مواجهههای رایج (CVE) وصله می کنند، تمرکز کنند.
منابع خبر
[2] https://www.bleepingcomputer.com/news/security/avrecon-malware-infects-70-000-linux-routers-to-buil…
[3] https://securereading.com/avrecon-malware-infects-linux-soho-routers
- 66