Desde al menos mayo de 2021, el malware sigiloso de Linux llamado AVrecon se utilizó para infectar más de 70 000 enrutadores SOHO (pequeñas oficinas/oficinas domésticas) basados en Linux y agregarlos a una red de bots diseñada para robar ancho de banda y brindar un servicio de proxy residencial oculto.
Esto permite a sus operadores ocultar un amplio espectro de actividades maliciosas, desde el fraude publicitario digital hasta la difusión de contraseñas.
Según el equipo de investigación de amenazas de Black Lotus Labs de Lumen, mientras que el troyano de acceso remoto (RAT) AVrecon comprometió más de 70 000 dispositivos, solo 40 000 se agregaron a la botnet después de ganar persistencia.
El malware ha logrado evadir en gran medida la detección desde que se encontó por primera vez en mayo de 2021 cuando se dirigía a los enrutadores Netgear. Desde entonces, pasó desapercibido durante más de dos años, atrapando lentamente a nuevos bots y convirtiéndose en una de las redes de bots dirigidas a enrutadores SOHO más grandes descubiertas en los últimos años.
"Sospechamos que el actor de amenazas se centró en el tipo de dispositivos SOHO que los usuarios tendrían menos probabilidades de parchear contra las vulnerabilidades y exposiciones comunes (CVE)", dijo Black Lotus Labs .
"En lugar de usar esta botnet para un pago rápido, los operadores mantuvieron un enfoque más moderado y pudieron operar sin ser detectados durante más de dos años. Debido a la naturaleza encubierta del malware, los propietarios de las máquinas infectadas rara vez notan una interrupción o pérdida del servicio. de ancho de banda".
Una vez infectado, el malware envía la información del enrutador comprometido a un servidor integrado de comando y control (C2). Después de hacer contacto, se le indica a la máquina pirateada que establezca comunicación con un grupo independiente de servidores, conocidos como servidores C2 de segunda etapa.
Los investigadores de seguridad encontraron 15 de estos servidores de control de segunda etapa, que han estado operativos desde al menos octubre de 2021, según la información del certificado x.509.
Ataques AVrecon (Black Lotus Labs)
El equipo de seguridad de Black Lotus de Lumen también abordó la amenaza de AVrecon mediante el enrutamiento nulo del servidor de comando y control (C2) de la botnet a través de su red troncal.
Esto cortó efectivamente la conexión entre la botnet maliciosa y su servidor de control central, lo que impidió significativamente su capacidad para ejecutar actividades dañinas.
"El uso del cifrado nos impide comentar los resultados de los intentos exitosos de rociado de contraseñas; sin embargo, hemos anulado los nodos de comando y control (C2) y hemos impedido el tráfico a través de los servidores proxy, lo que hizo que la red de bots quedara inerte en la red troncal de Lumen. ", dijo Black Lotus Labs.
En una directiva operativa vinculante (BOD) recientemente emitida y publicada el mes pasado, CISA ordenó a las agencias federales de EE. UU. que protegieran los equipos de red expuestos a Internet (incluidos los enrutadores SOHO) dentro de los 14 días posteriores al descubrimiento para bloquear posibles intentos de violación.
El compromiso exitoso de tales dispositivos permitiría a los actores de amenazas agregar los enrutadores pirateados a su infraestructura de ataque y proporcionarles una plataforma de lanzamiento para el movimiento lateral en sus redes internas, como advirtió CISA.
La gravedad de esta amenaza se deriva del hecho de que los enrutadores SOHO generalmente residen más allá de los límites del perímetro de seguridad convencional, lo que disminuye en gran medida la capacidad de los defensores para detectar actividades maliciosas.
El grupo de ciberespionaje chino Volt Typhoon utilizó una táctica similar para construir una red proxy encubierta a partir de equipos de red ASUS, Cisco, D-Link, Netgear, FatPipe y Zyxel SOHO pirateados para ocultar su actividad maliciosa dentro del tráfico de red legítimo, según un informe conjunto . aviso publicado por las agencias de seguridad cibernética Five Eyes (incluido el FBI, NSA y CISA) en mayo.
Los piratas informáticos estatales chinos utilizaron la red proxy encubierta para atacar organizaciones de infraestructura crítica en los Estados Unidos desde al menos mediados de 2021.
"Los actores de amenazas están utilizando AVrecon para el tráfico proxy y para participar en actividades maliciosas como la difusión de contraseñas. Esto es diferente de la red directa que vimos con nuestros otros descubrimientos de malware basados en enrutadores", dijo Michelle Lee, directora de inteligencia de amenazas de Lumen Black Lotus . laboratorios.
"Los defensores deben tener en cuenta que dicha actividad maliciosa puede originarse en lo que parece ser una dirección IP residencial en un país que no sea el origen real, y el tráfico de las direcciones IP comprometidas eludirá las reglas del firewall, como la geolocalización y el bloqueo basado en ASN".
