Desde pelo menos maio de 2021, um malware Linux sorrateiro chamado AVrecon foi usado para infectar mais de 70.000 roteadores Linux de pequenos escritórios/domésticos (SOHO) em uma botnet projetada para roubar largura de banda e fornecer um serviço de proxy residencial oculto.
Isso permite que seus operadores escondam uma ampla gama de atividades maliciosas, desde fraude em publicidade digital até tentativas de descobrir senhas.
De acordo com a equipe de pesquisa de ameaças Black Lotus Labs da Lumen, embora o trojan de acesso remoto (RAT) AVrecon tenha comprometido mais de 70.000 dispositivos, apenas 40.000 foram adicionados à botnet após obter persistência.
O malware conseguiu em grande parte evitar a detecção desde que foi visto pela primeira vez em maio de 2021, quando mirava os roteadores Netgear.
Desde então, ele passou despercebido por mais de dois anos, capturando lentamente novos bots e se tornando uma das maiores botnets direcionadas a roteadores SOHO descobertas nos últimos anos.
"Suspeitamos que o ator da ameaça se concentrou no tipo de dispositivos SOHO que os usuários seriam menos propensos a corrigir contra vulnerabilidades e exposições comuns (CVEs)", disse Black Lotus Labs.
"Ao invés de usar essa botnet para um pagamento rápido, os operadores mantiveram uma abordagem mais temperada e foram capazes de operar sem serem detectados por mais de dois anos.
Devido à natureza sorrateira do malware, os proprietários de máquinas infectadas raramente notam qualquer interrupção de serviço ou perda de largura de banda."
Uma vez infectado, o malware envia as informações do roteador comprometido para um servidor de comando e controle (C2) embutido.
Após fazer contato, a máquina hackeada é instruída a estabelecer comunicação com um grupo independente de servidores, conhecidos como servidores C2 de segunda fase.
Os pesquisadores de segurança encontraram 15 desses servidores de controle de segunda fase, que estão em operação desde pelo menos outubro de 2021, com base nas informações do certificado x.509.
A equipe de segurança Black Lotus da Lumen também abordou a ameaça AVrecon ao desviar rotas dos servidores de comando e controle (C2) da botnet em sua rede principal.
Isso efetivamente cortou a conexão entre a botnet maliciosa e seu servidor de controle central, dificultando significativamente sua capacidade de executar atividades prejudiciais.
"O uso de criptografia nos impede de comentar sobre os resultados de tentativas bem-sucedidas de descoberta de senhas; no entanto, nós desviamos rotas dos nós de comando e controle (C2) e impedimos o tráfego através dos servidores proxy, o que tornou a botnet inerte na rede principal da Lumen", disse Black Lotus Labs.
Em uma diretiva operacional vinculativa (BOD) emitida recentemente no mês passado, a CISA ordenou que agências federais dos EUA protegessem equipamentos de rede expostos à Internet (incluindo roteadores SOHO) dentro de 14 dias da descoberta para bloquear tentativas de violação.
Um comprometimento bem-sucedido de tais dispositivos permitiria aos atores da ameaça adicionar os roteadores hackeados à sua infraestrutura de ataque e fornecer a eles uma plataforma de lançamento para movimento lateral em suas redes internas, conforme advertido pela CISA.
A gravidade dessa ameaça vem do fato de que roteadores SOHO geralmente residem além dos limites do perímetro de segurança convencional, diminuindo muito a capacidade dos defensores de detectar atividades maliciosas.
O grupo de ciberespionagem chinesa Volt Typhoon usou uma tática semelhante para construir uma rede secreta de proxy com equipamentos de rede SOHO hackeados da ASUS, Cisco, D-Link, Netgear, FatPipe e Zyxel para esconder sua atividade maliciosa dentro do tráfego de rede legítimo, de acordo com um aviso conjunto publicado pelas agências de segurança cibernética Five Eyes (incluindo o FBI, NSA e CISA) em maio.
A rede de proxy secreta foi usada pelos hackers do estado chinês para atingir organizações de infraestrutura crítica nos Estados Unidos desde pelo menos meados de 2021.
"Os atores da ameaça estão usando AVrecon para fazer tráfego de proxy e se envolver em atividades maliciosas como descoberta de senhas.
Isso é diferente do direcionamento direto da rede que vimos com nossas outras descobertas de malware baseadas em roteador", disse Michelle Lee, diretora de inteligência de ameaças da Lumen Black Lotus Labs.
"Os defensores devem estar cientes de que tais atividades maliciosas podem se originar do que parece ser um endereço IP residencial em um país diferente do país de origem real, e o tráfego de endereços IP comprometidos irá contornar regras de firewall como geobloqueio e bloqueio baseado em ASN."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...