Ботнет AVRecon використовує скомпрометовані маршрутизатори як проксі-сервери

З’явилося більше подробиць про ботнет під назвою AVRecon, який використовує скомпрометовані маршрутизатори для малого/домашнього офісу (SOHO) в рамках багаторічної кампанії, що триває щонайменше з травня 2021 року.

Вперше AVRecon був виявлений Lumen Black Lotus Labs на початку цього місяця як шкідливе програмне забезпечення, здатне виконувати додаткові команди і красти пропускну здатність жертви для того, щоб використовувати пристрій як проксі-сервіс. Він також перевершив QakBot за масштабами, проникнувши на понад 41 000 вузлів, розташованих у 20 країнах світу.

“Шкідливе програмне забезпечення використовувалося для створення резидентних проксі-сервісів, щоб приховати шкідливу активність, таку як розпилення паролів, проксування веб-трафіку і шахрайство з рекламою”, – йдеться у звіті дослідників.

Це підтверджується новими висновками KrebsOnSecurity і Spur.us, які минулого тижня виявили, що “AVRecon є двигуном шкідливого програмного забезпечення, що стоїть за 12-річним сервісом під назвою SocksEscort, який здає в оренду зламані побутові пристрої і пристрої для малого бізнесу кіберзлочинцям, які хочуть приховати своє справжнє місцезнаходження в Інтернеті”.

Підставою для такого зв’язку є пряма кореляція між SocksEscort та командно-контрольними серверами AVRecon (C2). Кажуть, що SocksEscort також співпрацює з молдовською компанією Server Management LLC, яка пропонує мобільне VPN-рішення в Apple Store під назвою HideIPVPN.

Black Lotus Labs повідомила, що нова інфраструктура, яку вони виявили у зв’язку зі шкідливим програмним забезпеченням, має ті ж характеристики, що і старі AVrecon C2.

Маршрутизатори та інші периферійні пристрої стали прибутковими векторами атак в останні роки через те, що такі такі пристрої рідко отримують виправлення проблем безпеки, можуть не підтримувати рішення для виявлення і реагування на кінцеві точки (EDR) і призначені для роботи з більш високою пропускною спроможністю.