Pojavilo se više detalja o botnetu pod nazivom AVRecon, koji je primijećen kako koristi kompromitovane usmjeravače malih ureda/kućne kancelarije (SOHO) kao dio višegodišnje kampanje koja je aktivna najmanje od maja 2021. godine.
AVRecon je prvi put otkrio Lumen Black Lotus Labs ranije ovog mjeseca kao maliciozni softver sposoban da izvrši dodatne naredbe i ukrade propusni opseg žrtve za ono što se čini kao ilegalni proxy servis koji je dostupan drugim hakerima. Takođe je nadmašio QakBot u smislu obima, infiltrirajući se u preko 41.000 čvorova koji se nalaze u 20 zemalja širom svijeta.
“Maliciozni softver je korišten za kreiranje rezidencijalnih proxy usluga kako bi se prikrile maliciozne aktivnosti kao što su raspršivanje lozinki, proxy web prometa i prijevara u reklamama”, navode istraživači u izvještaju.
Ovo je potkrijepljeno novim nalazima KrebsOnSecurity i Spur.us, koji su prošle sedmice otkrili da je “AVrecon pokretač malicioznog softvera iza 12 godina starog servisa pod nazivom SocksEscort, koji iznajmljuje hakovane stambene i male poslovne uređaje kibernetičkim kriminalcima koji žele sakriti svoju pravu lokaciju na mreži.”
Osnova za konekciju proizilazi iz direktnih korelacija između SocksEscort i AVRecon-ovih komandno-kontrolnih (C2) servera. Takođe se kaže da SocksEscort dijeli preklapanja sa moldavskom kompanijom pod nazivom Server Management LLC koja nudi mobilno VPN rešenje na Apple Store-u pod nazivom HideIPVPN.
Black Lotus Labs je za The Hacker News rekao da nova infrastruktura koju je identifikovala u vezi sa malverom pokazuje iste karakteristike kao i stari AVrecon C2.
“Ocjenjujemo da su hakeri reagovali na našu objavu i null-routing infrastrukture i pokušavali da zadrže kontrolu nad botnetom”, saopštila je kompanija. “Ovo sugerše da hakeri žele dalje monetizirati botnet tako što će zadržati određeni pristup i nastaviti s upisom korisnika u SocksEscort ‘proxy kao uslugu’.”
Usmjerivači i drugi uređaji na rubu postali su unosni vektori napada posljednjih godina zbog činjenice da se takvi uređaji rijetko zakrpe zbog sigurnosnih problema, možda ne podržavaju rešenja za otkrivanje i odgovor krajnjih tačaka (EDR) i dizajnirani su za rukovanje većim propusnim opsegom.
AVRecon takođe predstavlja povećanu pretnju zbog svoje sposobnosti da stvori ljusku na kompromitovanoj mašini, potencijalno omogućavajući hakerima da prikriju sopstveni maliciozni saobraćaj ili dohvate dalji malver za naknadnu eksploataciju.
“Dok se ovi botovi prvenstveno dodaju proxy servisu SocksEscort, unutar fajla je ugrađena funkcionalnost za stvaranje udaljene ljuske”, rekli su istraživači.
“Ovo bi moglo omogućiti hakeru mogućnost postavljanja dodatnih modula, pa predlažemo da upravljani sigurnosni provajderi pokušaju da istraže ove uređaje u svojim mrežama, dok bi kućni korisnici trebali uključiti svoje uređaje.”
Izvor: The Hacker News