Компания Lumen Black Lotus Labs выявила очередную многолетнюю кампанию, связанную со взломом маршрутизаторов по всему миру. Это сложная операция по заражению маршрутизаторов малых и домашних офисов (SOHO) с использованием трояна удаленного доступа (RAT) на базе Linux, который мы "AVrecon".
AVrecon Botnet
По оценкам Black Lotus, целью кампании является создание скрытой сети для скрытого осуществления целого ряда преступных действий - от подбора паролей до мошенничества с цифровой рекламой. Из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечают перебои в работе сервисов или потерю пропускной способности. Эта оценка основана на наблюдаемой телеметрии и анализе функциональных возможностей бинарного файла, позволяющих агенту взаимодействовать с удаленной оболочкой и развертывать последующие бинарные файлы. Используя возможности Lumen по наблюдению за глобальной сетью, Black Lotus Labs определила состав сети, которая проникла в более чем 70 000 машин, закрепившись на более чем 40 000 IP-адресов в более чем 20 странах. Использование шифрования не позволяет комментировать результаты успешных попыток подбора паролей, однако Black Lotus отключили командно-контрольные узлы (C2) и препятствовали прохождению трафика через прокси-серверы, что сделало ботнет неактивным на всей магистрали Lumen.
В ходе последнего расследования Black Lotus Labs обнаружила одну из крупнейших за последнее время бот-сетей, нацеленных на маршрутизаторы малых офисов/домашних офисов (SOHO). Он использовался для создания домашних прокси-сервисов, скрывающих такие виды вредоносной деятельности, как распыление паролей, проксирование веб-трафика и рекламное мошенничество. Превзойдя по масштабам Qakbot, AVrecon работал незамеченным более двух лет. Хотя в мае 2021 года в Twitter появились упоминания о нем от @SethKingHi, никакие другие исследования не показали масштабность этой операции и не задокументировали ее функциональность.
При заражении угроза перечисляет SOHO-маршрутизатор жертвы, затем отправляет эту информацию во встроенный домен C2. Оттуда зараженной системе предписывается начать взаимодействие с отдельным набором серверов, которые мы называем C2-серверами второго этапа. Используя собственную и коммерческую телеметрию Lumen, мы обнаружили 15 уникальных C2-серверов второго этапа. На основании информации, связанной с их сертификатами x.509, мы полагаем, что некоторые из них работают как минимум с октября 2021 года. Мы сделали снимок серверов второго этапа за 28 дней и обнаружили более 70 000 различных IP-адресов, взаимодействующих с ними. Затем мы проверили, сколько машин были заражены на постоянной основе - то есть взаимодействовали с одним из серверов второго этапа в течение двух и более дней в течение 28-дневного окна, - и выявили 41 000 узлов.
Black Lotus наблюдали, как ряд ботнетов типа Chaos, базирующихся на SOHO, использовали свой доступ для более агрессивных действий, таких как развертывание криптомайнеров или проведение DDoS-атак. Такая деятельность, как правило, привлекает внимание, поскольку майнинг создает проблемы с производительностью из-за перегруженности процессоров, а DDoS часто приводит к жалобам на злоупотребления. Кампания AVrecon оказалась успешной, поскольку:
- Целевые машины - это в основном сетевое оборудование, на котором не используются стандартные решения для обнаружения и реагирования на конечные точки (EDR).
- Атакующий агент сосредоточился на типах SOHO-устройств, которые пользователи с меньшей вероятностью будут патчировать для устранения распространенных уязвимостей и уязвимых мест (CVE). Вместо того чтобы использовать эту бот-сеть для получения быстрых денег, операторы придерживались более умеренного подхода и смогли проработать незамеченными более двух лет.
Несмотря на то что в 2021 году было два кратких упоминания об этом семействе вредоносных программ, до сих пор не было ни одного полного отчета о масштабах его деятельности. В данном отчете описывается функциональность и встроенные возможности вредоносной программы, рассматривается взаимодействие трояна удаленного доступа с различными серверами C2. Наконец, мы исследуем масштабы распространения ботнета и активность, связанную с ним.
Indicators of Compromise
IPv4
- 139.59.231.113
- 148.72.155.112
- 148.72.155.174
- 148.72.155.187
- 148.72.155.189
- 155.254.23.254
- 188.138.41.157
- 188.138.70.19
- 209.126.105.43
- 209.126.107.197
- 50.30.36.132
- 50.30.36.27
- 51.158.47.74
- 69.64.55.106
- 85.25.214.74
- 85.25.217.95
Domains
- cleandone.cc
- Zerophone.cc
X.509 Certificates
- 5a88bcf63d5dc4bb6bf7ec368e2d6cbf33485a77f1adac516e292f092d318240
- 643a0ec9c275be60e719ca834f80bcc08dcae360f77ebfca31b39911e02180a3
- d25d480022a93859a2a2dbf79269633a3b6e8d5eadd8c6c2e03e4df1bbb4c95a
- db104873aaa1756b2d7aafb6ef2a0bd2257442a0313931c1ebad84b1188b4591
- f45009a0eb6e0496153238a3fbf6bcbc356f21764cc33f00b508df751dbf85e3
SHA256
- 3d43f5b3b2c9142ca0c5cdc4a82f9088e090d077ef61c2297c51b4ccd3085d78
- cfd3d123595fba37ec414b90cfa834753ad9ab2149651d48948e04875aecac98
- f18ddb10b3f9044fa2f9d1bb5152e388d4f68c2209165b117135fb2490243d2b