محققان امنیت سایبری یک بدافزار جدید را کشف کردهاند که بیش از ۷۰ هزار دستگاه را در طول فعالیت دوساله خود آلوده کرده است.
به گزارش افتانا به نقل از هکر نیوز، یک نوع بدافزار جدید پیدا شده است که به طور مخفیانه روترهای ادارههای کوچک/ دفتر خانگی (SOHO) را برای بیش از دو سال هدف قرار میدهد. این بدافزار به بیش از ۷۰ هزار دستگاه نفوذ کرده و یک بات نت با ۴۰ هزار گره در ۲۰ کشور ایجاد میکند.
شرکت Lumen Black Lotus Labs این بدافزار را AVrecon نامگذاری کرده است. بدافزار AVrecon سومین گونهای است که در سال گذشته پس از ZuoRAT و HiatusRAT روی روترهای SOHO متمرکز شده است.
اکثریت آلودگیها با این
بدافزار در بریتانیا و ایالات متحده و پس از آن آرژانتین، نیجریه، برزیل، ایتالیا، بنگلادش، ویتنام، هند، روسیه و آفریقای جنوبی و دیگران قرار دارند.
AVrecon اولین بار توسط محقق ارشد امنیتی کسپرسکی، یه جین در می ۲۰۲۱ برجسته شد که نشان میدهد این بدافزار تاکنون مدت زیادی است که در حال فعالیت است.
در زنجیره حمله که توسط Lumen توضیح داده شده است، یک نفوذ موفقیتآمیز با شمارش روتر SOHO قربانی و استخراج آن اطلاعات به یک سرور فرمان و کنترل تعبیه شده (C2) دنبال میشود.
همچنین با جستجوی فرآیندهای موجود در پورت ۴۸۱۰۲ و باز کردن شنونده در آن پورت، بررسی میکند که آیا نمونههای دیگر بدافزار از قبل روی میزبان اجرا میشوند یا خیر.
مرحله بعدی شامل برقراری ارتباط سیستم در معرض خطر با یک سرور جداگانه به نام سرور C2 ثانویه است تا منتظر دستورات بعدی باشد. Lumen گفت 15 سرور منحصر به فرد را شناسایی کرده است که حداقل از اکتبر ۲۰۲۱ فعال بودهاند.
شایان ذکر است که زیرساختهای سطحی C2 در بین باتنتهای بدنامی مانند Emotet و QakBot رایج است.
AVrecon به زبان برنامهنویسی C نوشته شده است و پورت کردن بدافزار برای معماریهای مختلف را آسان میکند. علاوه بر این، یک دلیل حیاتی برای کارآمدی چنین حملاتی این است که از زیرساختهای زندگی در سیستمهایی استفاده میکنند که معمولاً از راه حلهای امنیتی پشتیبانی نمیکنند.
منبع:
The Hacker News