봇넷 구축을 위해 수천 대의 Linux 라우터가 AVrecon 악성코드에 감염됨

악성 코드는 탐지를 회피하는 데에도 능숙합니다.

Lumen Black Lotus Labs의 보안 연구원들이 2년이 넘는 기간 동안 사실상 감지되지 않은 채 소규모 사무실/홈 오피스(SOHO) 라우터를 감염시켜온 Linux 기반 원격 액세스 트로이 목마를 발견했습니다.

2021년 5월에 간략하게 언급된 AVrecon이라고 불리는 트로이 목마는 비밀번호 스프레이, 웹 트래픽 프록시, 광고 사기와 같은 다양한 악성 활동을 숨기도록 설계된 주거용 프록시 서비스를 만드는 데 사용되었습니다.

20개국의 70,000개가 넘는 IP 주소가 28일 동안 15개의 고유한 2단계 C2와 통신하고 41,000개의 노드가 지속적으로 감염된 것으로 분류되므로 다년간에 걸쳐 진행되는 이 캠페인의 규모는 걱정스러울 정도로 클 수 있습니다.

이 악성코드를 분석한 결과 C로 작성되었으며 이식성이 중요하며 ARM 내장 장치를 표적으로 삼는 것으로 확인되었습니다.

>이것은 주변의 최고의 방화벽입니다>Cisco 라우터가 맞춤형 러시아 악성 코드의 표적이 되고 있습니다.>Asus 라우터가 있는 경우 지금 패치해야 합니다. 그렇지 않으면 해킹당할 위험이 있습니다.

AVrecon은 먼저 호스트 시스템에서 자신의 다른 인스턴스를 확인하고 기존 프로세스를 종료합니다. 그렇지 않으면 탐지를 피하기 위해 기계에서 자동으로 제거됩니다.

궁극적으로 Lumen은 이 악성 코드가 감염된 시스템을 사용하여 다양한 Facebook 및 Google 광고를 클릭하고 Microsoft Outlook과 상호 작용하도록 설계되었으며 이는 더 큰 규모의 광고 사기 활동으로 추정됩니다.

따라서 요약에서는 비밀번호 유포 및/또는 데이터 유출이 부차적인 활동일 수 있다는 결론을 내렸습니다.

목표는 피해자의 대역폭을 사용하여 주거용 프록시 서비스를 만들어 악의적인 활동을 세탁하는 것으로 보이며, 이는 상용 VPN 서비스만큼 관심을 끌 가능성이 낮습니다.

리소스를 많이 사용하는 암호화폐 채굴과 달리 최종 사용자에게 미치는 영향이 거의 없기 때문에 Black Lotus Labs는 "인터넷 전반의 무차별 대입 및 DDoS 기반 봇넷이 일반적으로 발생하는 남용 불만의 양을 보증할 가능성은 거의 없습니다."라고 말합니다.

좋은 인터넷 위생을 실천하는 것은 예방에 가장 중요하며, 이 경우 정기적으로 라우터를 재부팅하고 펌웨어 업데이트를 적용하는 것이 포함됩니다.

TechRadar Pro 뉴스레터에 가입하여 비즈니스 성공에 필요한 모든 주요 뉴스, 의견, 기능 및 지침을 받아보세요!

기술 및 자동차 분야에서 수년간 프리랜서로 일한 경험을 바탕으로 Craig의 특별한 관심은 AI 및 ML, 생산성 지원, 스마트 피트니스 등 우리의 삶을 개선하도록 설계된 기술에 있습니다. 그는 또한 자동차와 개인 교통수단의 탈탄소화에 열정을 갖고 있습니다. 열렬한 특가 사냥꾼으로서 Craig가 찾은 모든 거래가 최고의 가치임을 확신할 수 있습니다!

Microsoft는 여전히 일부 최대 고객이 Windows 앱을 실행하는 것을 차단하고 있습니다.

Squarespace Courses는 귀하의 전문 지식을 전 세계와 공유하도록 돕고 싶습니다.

삼성의 ViewFinity S9는 크리에이티브 전문가들이 찾고 있던 모니터일 수 있습니다.

대런 앨런 저2023년 8월 28일

크레이그 헤일(Craig Hale) 작성2023년 8월 28일

작성자: Keumars Afifi-Sabet2023년 8월 28일

작성자: Sead Fadilpašić 2023년 8월 28일

대런 앨런 저2023년 8월 28일

크레이그 헤일(Craig Hale) 작성2023년 8월 28일

David Nield 작성2023년 8월 28일

David Nield 작성2023년 8월 28일

작성자: Sead Fadilpašić 2023년 8월 28일

제임스 로저슨 작성2023년 8월 28일

작성자: Keumars Afifi-Sabet2023년 8월 28일