یک بدافزار بعد از دو سال فعالیت تازه کشف شد

کمیته رکن چهارم – محققان امنیت سایبری یک بدافزار جدید را کشف کرده‌اند که بیش از ۷۰ هزار دستگاه را در طول فعالیت دوساله خود آلوده کرده است.

یک نوع بدافزار جدید پیدا شده است که به طور مخفیانه روترهای اداره‌های کوچک/ دفتر خانگی (SOHO) را برای بیش از دو سال هدف قرار می‌دهد. این بدافزار به بیش از ۷۰ هزار دستگاه نفوذ کرده و یک بات نت با ۴۰ هزار گره در ۲۰ کشور ایجاد می‌کند.

شرکت Lumen Black Lotus Labs این بدافزار را AVrecon نامگذاری کرده است. بدافزار AVrecon سومین گونه‌ای است که در سال گذشته پس از ZuoRAT و HiatusRAT روی روترهای SOHO متمرکز شده است.

اکثریت آلودگی‌ها با این بدافزار در بریتانیا و ایالات متحده و پس از آن آرژانتین، نیجریه، برزیل، ایتالیا، بنگلادش، ویتنام، هند، روسیه و آفریقای جنوبی و دیگران قرار دارند.

AVrecon اولین بار توسط محقق ارشد امنیتی کسپرسکی، یه جین در می ۲۰۲۱ برجسته شد که نشان می‌دهد این بدافزار تاکنون مدت زیادی است که در حال فعالیت است.

در زنجیره حمله که توسط Lumen توضیح داده شده است، یک نفوذ موفقیت‌آمیز با شمارش روتر SOHO قربانی و استخراج آن اطلاعات به یک سرور فرمان و کنترل تعبیه شده (C2) دنبال می‌شود.

همچنین با جستجوی فرآیندهای موجود در پورت ۴۸۱۰۲ و باز کردن شنونده در آن پورت، بررسی می‌کند که آیا نمونه‌های دیگر بدافزار از قبل روی میزبان اجرا می‌شوند یا خیر.

مرحله بعدی شامل برقراری ارتباط سیستم در معرض خطر با یک سرور جداگانه به نام سرور C2 ثانویه است تا منتظر دستورات بعدی باشد. Lumen گفت ۱۵ سرور منحصر به فرد را شناسایی کرده است که حداقل از اکتبر ۲۰۲۱ فعال بوده‌اند.

شایان ذکر است که زیرساخت‌های سطحی C2 در بین بات‌نت‌های بدنامی مانند Emotet و QakBot رایج است.

AVrecon به زبان برنامه‌نویسی C نوشته شده است و پورت کردن بدافزار برای معماری‌های مختلف را آسان می‌کند. علاوه بر این، یک دلیل حیاتی برای کارآمدی چنین حملاتی این است که از زیرساخت‌های زندگی در سیستم‌هایی استفاده می‌کنند که معمولاً از راه حل‌های امنیتی پشتیبانی نمی‌کنند.

منبع: افتانا