AVRecon Botnet Memanfaatkan Router yang Disusupi untuk Mengisi Layanan Proksi Ilegal

Cyberthreat.id - Rincian lebih lanjut telah muncul tentang botnet yang disebut AVRecon, yang telah diamati memanfaatkan router kantor kecil/kantor rumah (SOHO) yang disusupi sebagai bagian dari kampanye multi-tahun yang aktif sejak setidaknya Mei 2021.

The Hacker News menuliskan bahwa AVRecon pertama kali diungkapkan oleh Lumen Black Lotus Labs awal bulan ini sebagai malware yang mampu mengeksekusi perintah tambahan dan mencuri bandwidth korban untuk layanan proxy ilegal yang disediakan untuk aktor lain.

Itu juga telah melampaui QakBot dalam hal skala, setelah menyusup ke lebih dari 41.000 node yang berlokasi di 20 negara di seluruh dunia.

"Malware telah digunakan untuk membuat layanan proxy perumahan untuk menyembunyikan aktivitas jahat seperti penyemprotan kata sandi, proxy lalu lintas web, dan penipuan iklan," kata para peneliti dalam laporan tersebut.

Ini telah dikuatkan oleh temuan baru dari KrebsOnSecurity dan Spur.us, yang minggu lalu mengungkapkan bahwa "AVrecon adalah mesin malware di balik layanan berusia 12 tahun bernama SocksEscort, yang menyewakan perangkat perumahan dan usaha kecil yang diretas kepada penjahat dunia maya yang ingin menyembunyikan lokasi sebenarnya secara online."

Dasar koneksi berasal dari korelasi langsung antara SocksEscort dan server perintah-dan-kontrol (C2) AVRecon.

SocksEscort juga dikatakan berbagi tumpang tindih dengan perusahaan Moldovan bernama Server Management LLC yang menawarkan solusi VPN seluler di Apple Store yang disebut HideIPVPN.

Black Lotus Labs mengatakan kepada The Hacker News bahwa infrastruktur baru yang diidentifikasi sehubungan dengan malware menunjukkan karakteristik yang sama dengan AVrecon C2s lama.

"Kami menilai bahwa pelaku ancaman bereaksi terhadap publikasi kami dan membatalkan perutean infrastruktur mereka, dan berusaha mempertahankan kendali atas botnet," kata perusahaan itu.

"Hal ini menunjukkan bahwa para pelaku ingin lebih memonetisasi botnet dengan mempertahankan beberapa akses dan terus mendaftarkan pengguna di 'proxy as a service' SocksEscort."

Router dan peralatan tepi lainnya telah menjadi vektor serangan yang menguntungkan dalam beberapa tahun terakhir karena fakta bahwa perangkat tersebut jarang ditambal terhadap masalah keamanan, mungkin tidak mendukung solusi endpoint detection and response (EDR), dan dirancang untuk menangani bandwidth yang lebih tinggi.

AVRecon juga menimbulkan ancaman yang meningkat karena kemampuannya menelurkan cangkang pada mesin yang disusupi, berpotensi memungkinkan pelaku ancaman mengaburkan lalu lintas jahat mereka sendiri atau mengambil malware lebih lanjut untuk pascaeksploitasi.

"Sementara bot ini terutama ditambahkan ke layanan proxy SocksEscort, ada fungsi yang disematkan di dalam file untuk menelurkan shell jarak jauh," kata para peneliti.

"Ini dapat memungkinkan pelaku ancaman untuk menggunakan modul tambahan, jadi kami menyarankan agar penyedia keamanan terkelola mencoba menyelidiki perangkat ini di jaringan mereka, sementara pengguna rumahan harus menghidupkan ulang perangkat mereka."[]