Lumen Technologiesは7月12日(米国時間)、「Routers from the Underground: Exposing AVrecon - Lumen」において、小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)のルータを標的としたLinuxベースのリモートアクセス型トロイの木馬「AVrecon」について報じた。このマルウェアはこれまでほとんど検出されることなく2年間以上活動を続けており、小規模オフィス・ホームオフィスのルータを標的としたものとしては、近年最大規模の知られざる脅威として活動をしてきたと指摘されている。
Lumen Technologiesは、AVreconの活動目的について、パスワードスプレーからデジタル広告詐欺に至るまで、さまざまなサイバー犯罪を可能にするために秘密のネットワークとして使われていると分析している。AVreconの特性上、ユーザーは自身のルータが感染していることに気がつくことは難しいという。同社はこのマルウェアが2年以上にわたって活動を継続できた理由として、次の2つを取り上げている。
- AVreconが標的としているマシンは主にネットワーク機器であり、標準的なエンドポイント検出応答(EDR: Endpoint Detection and Response)が提供されていない
- サイバー攻撃者は脆弱性パッチが適用される可能性の低い小規模オフィス・ホームオフィス(SOHO)向けのデバイスを悪用してきた。さらに穏健なアプローチを採用し2年以上にわたって発見されることなく活動を継続してきた
Lumen Technologiesは調査によって約7万のユニークなIPアドレスが特定されたほか、2日間以上持続する感染を永続的な感染とみなした場合のボットネット規模を約4万1,100台と推定している。AVreconを用いているサイバー攻撃者はどのようなデバイスでもいつでも悪意のあるトラフィックをトンネリングできるような相当規模のネットワークを持っていたことになると分析している。
Lumen Technologiesは小規模オフィス・ホームオフィス(SOHO)向けルータのユーザーに対して、ルータを定期的に再起動すること、セキュリティアップデートを適用することを推奨している。