技術支援
文件
登錄
聯繫我們
Linux 惡意軟體感染 70,000 台路由器
奧班拉·奧佩耶米
實施期間: 2023年7月31 日 - TuxCare專家團隊
根據Lumen的Black Lotus Labs威脅研究小組的一份報告,一種名為AVrecon的隱形Linux惡意軟體已被用於感染超過70,000個基於Linux的小型辦公室/家庭辦公室(SOHO)路由器。
該惡意軟體於 2021 年 5 月首次被發現,旨在竊取頻寬並提供隱藏的住宅代理服務。這允許其運營商隱藏廣泛的惡意活動,從數位廣告欺詐到密碼噴塗。
自首次被發現以來,該惡意軟體在很大程度上設法逃避了檢測。這是因為它針對通常未針對常見漏洞進行修補的SOHO路由器。此外,該惡意軟體非常隱蔽,受感染機器的擁有者很少注意到任何服務中斷或頻寬損失。
一旦被感染,惡意軟體就會將被感染路由器的信息發送到嵌入式命令和控制 (C2) 伺服器。聯繫后,被駭客入侵的計算機被指示與一組獨立的伺服器(稱為第二階段 C2 伺服器)建立通信。
安全研究人員發現了 15 台這樣的第二階段控制伺服器,這些伺服器至少自 2021 年 10 月以來一直在運行。
Lumen的Black Lotus安全團隊還通過在其骨幹網路中對殭屍網路的命令和控制(C2)伺服器進行空路由來解決AVrecon威脅。這有效地切斷了惡意殭屍網路與其中央控制伺服器之間的連接,極大地阻礙了其執行有害活動的能力。
這種威脅的嚴重性源於這樣一個事實,即SOHO路由器通常位於傳統安全邊界之外,大大降低了防禦者檢測惡意活動的能力。
Volt Typhoon中國網路間諜組織使用類似的策略,從被駭客入侵的華碩,思科,D-Link,Netgear,FatPipe和Zyxel SOHO網路設備中建立一個秘密的代理網路,以將其惡意活動隱藏在合法的網路流量中。
“威脅行為者正在使用AVrecon來代理流量並從事密碼噴塗等惡意活動,”Lumen Black Lotus Labs威脅情報總監Michelle Lee說。“這與我們在其他基於路由器的惡意軟體發現中看到的直接網络目標不同。
“防禦者應該意識到,這種惡意活動可能來自實際來源以外的國家/地區的住宅 IP 位址,來自受感染 IP 位址的流量將繞過防火牆規則,例如地理圍欄和基於 ASN 的阻止。”
這篇文章的來源包括 BleepingComputer上的一篇文章。
