最近,通信公司Lumen的Black Lotus實驗室在一篇博客中稱,其發現了一項持續多年的波及全球路由器的惡意活動——新型僵尸網絡“AVrecon”在未被察覺的情況下運行了至少兩年,感染了全球7萬臺路由器。

針對互聯網路由器的惡意攻擊并不是什么新鮮事,美國網絡安全與基礎設施安全局(CISA)最近就警告稱,攻擊者可利用SOHO路由器等網絡設備作為全球攻擊基礎設施并對組織網絡進行無限制訪問。而SOHO路由器更新的頻率通常較低,這更加劇了問題的嚴重性。

例如Black Lotus研究人員分析的這個僵尸網絡,其AVrecon惡意軟件已經感染了超過7萬臺基于Linux的路由器,并在20多個國家的4萬多個IP地址上保持著持久性控制。根據Black Lotus實驗室的說法,AVrecon是繼ZuroRAT和HiatusRAT之后,第三個專注于攻擊SOHO路由器的惡意軟件,主要攻擊目標為英國和美國。

據了解,AVrecon使用C語言編寫,針對ARM嵌入式設備,特別是SOHO(小型辦公室/家庭辦公室)路由器。Black Lotus表示,這些目標設備通常缺乏標準端點安全解決方案,因此惡意軟件可以利用已知漏洞進行更長時間的攻擊。

一旦成功感染路由器,AVrecon會將有關受感染設備的信息發送給一個嵌入式的“第一階段”C2(命令與控制)服務器,然后指示設備連接到另一組C2服務器——Black Lotus的研究人員發現,自2021年10月以來,至少有15個這樣的服務器一直在運行。受感染的路由器用于與C2服務器之間的通信使用x.509證書進行加密,因此研究人員無法看到網絡犯罪分子在“密碼噴灑”攻擊中的成功率。除此之外,受感染的設備還被用來點擊各種Facebook和谷歌的廣告。

Black Lotus實驗室建議,針對此類惡意活動,保持良好的習慣至關重要,例如定期重啟路由器以及應用安全更新。

路由 soho 網絡安全 lotus
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接