隐藏在SOHO路由器中的远程访问木马AVrecon,两年感染20个国家的7万台设备
最近,通信公司Lumen的Black Lotus实验室在一篇博客中称,其发现了一项持续多年的波及全球路由器的恶意活动——新型僵尸网络“AVrecon”在未被察觉的情况下运行了至少两年,感染了全球7万台路由器。
针对互联网路由器的恶意攻击并不是什么新鲜事,美国网络安全与基础设施安全局(CISA)最近就警告称,攻击者可利用SOHO路由器等网络设备作为全球攻击基础设施并对组织网络进行无限制访问。而SOHO路由器更新的频率通常较低,这更加剧了问题的严重性。
例如Black Lotus研究人员分析的这个僵尸网络,其AVrecon恶意软件已经感染了超过7万台基于Linux的路由器,并在20多个国家的4万多个IP地址上保持着持久性控制。根据Black Lotus实验室的说法,AVrecon是继ZuroRAT和HiatusRAT之后,第三个专注于攻击SOHO路由器的恶意软件,主要攻击目标为英国和美国。
据了解,AVrecon使用C语言编写,针对ARM嵌入式设备,特别是SOHO(小型办公室/家庭办公室)路由器。Black Lotus表示,这些目标设备通常缺乏标准端点安全解决方案,因此恶意软件可以利用已知漏洞进行更长时间的攻击。
一旦成功感染路由器,AVrecon会将有关受感染设备的信息发送给一个嵌入式的“第一阶段”C2(命令与控制)服务器,然后指示设备连接到另一组C2服务器——Black Lotus的研究人员发现,自2021年10月以来,至少有15个这样的服务器一直在运行。受感染的路由器用于与C2服务器之间的通信使用x.509证书进行加密,因此研究人员无法看到网络犯罪分子在“密码喷洒”攻击中的成功率。除此之外,受感染的设备还被用来点击各种Facebook和谷歌的广告。
Black Lotus实验室建议,针对此类恶意活动,保持良好的习惯至关重要,例如定期重启路由器以及应用安全更新。
