據 Lumen Black Lotus Labs 的安全研究人員揭示,一種基於 Linux 的遠程訪問特洛伊木馬已經在過去兩年多的時間裡,幾乎無法被檢測到地感染了小型辦公室/家庭辦公室(SOHO)路由器。
這種被稱為 AVrecon 的特洛伊木馬在 2021 年 5 月簡要提及,它被用於創建住宅代理服務,旨在隱藏各種惡意活動,如密碼噴射、網絡流量代理和廣告欺詐。
在 28 天的時間窗口內,來自 20 個國家的超過 70,000 個不同 IP 地址與 15 個獨特的第二階段 C2(Command and Control)通信,而被分類為持續感染的節點達到 41,000 個,這個長達多年的攻擊規模可能非常巨大。
受惡意軟件感染的路由器
對惡意軟件的分析確認它是用 C 語言編寫的,該語言因其可移植性而受到重視,並且它的目標是 ARM 嵌入式設備。
AVrecon 首先檢查主機上是否存在其他相同的實例,並終止現有進程。如果未能這樣做,它將自行從主機中移除,可能是為了逃避檢測。
最終,Lumen 認為,這種惡意軟件的設計目的是利用被感染的機器點擊各種 Facebook 和 Google 廣告,並與 Microsoft Outlook 互動,很可能是為了進行更大規模的廣告欺詐行為。
總結指出,因此密碼噴射和/或數據外洩可能是次要活動。目標似乎是通過使用受害者的帶寬創建住宅代理服務來洗清惡意活動,這不太可能引起與商業 VPN 服務相同程度的關注。
由於對終端用戶的影響很小,不像資源密集型的加密貨幣挖掘,Black Lotus Labs 表示:“它不太可能引起像全球互聯網暴力破解和基於 DDoS 的殭屍網絡那樣的濫用投訴量。”執行良好的網絡衛生習慣對預防至關重要,包括定期重啟路由器和應用固件更新。