超88個國家地區!六千台華碩路由器遭惡意軟件攻擊(圖文)

發布日期:2024-03-29首頁 > 安全資(zī)訊

研究發現“TheMoon”惡意軟件僵屍網絡的新變種感染了 88 個國家/地區數千個小(xiǎo)型辦公室和家庭辦公室 (SOHO) 路由器和物(wù)聯網設備。TheMoon 與“Faceless”代理服務相關聯,該服務使用一(yī)些受感染的設備作爲代理,爲希望匿名其惡意活動的網絡犯罪分(fēn)子路由流量。
Black Lotus Labs 研究人員(yuán)對 2024 年 3 月上旬開(kāi)始的最新 TheMoon 活動進行監控,發現 72 小(xiǎo)時内有 6,000 台華碩路由器成爲攻擊目标。威脅分(fēn)析師報告稱,IcedID 和 SolarMarker 等惡意軟件操作目前使用代理僵屍網絡來混淆其在線活動。

 

Faceless 代理服務概述

針對華碩路由器

TheMoon 首次被發現于2014 年,當時研究人員(yuán)警告稱,該惡意軟件正在利用漏洞感染 LinkSys 設備。該惡意軟件的最新活動在一(yī)周内感染了近 7,000 台設備,Black Lotus Labs 表示它們主要針對華碩路由器。Black Lotus 警告稱:“通過 Lumen 的全球網絡可見性,Black Lotus Labs 已經确定了 Faceless 代理服務的邏輯圖,其中(zhōng)包括一(yī)項于 2024 年 3 月第一(yī)周開(kāi)始的活動,該活動在不到 72 小(xiǎo)時内針對 6,000 多個華碩路由器進行了攻擊”實驗室研究人員(yuán)。研究人員(yuán)沒有具體(tǐ)說明用于破壞華碩路由器的确切方法,但鑒于目标設備型号已停産,攻擊者很可能利用了固件中(zhōng)的已知(zhī)漏洞。攻擊者還可能暴力破解管理員(yuán)密碼或測試默認和弱憑據。一(yī)旦惡意軟件獲得對設備的訪問權限,它就會檢查是否存在特定的 shell 環境(“/bin/bash”、“/bin/ash”或“/bin/sh”);否則,它會停止執行。如果檢測到兼容的 shell,加載程序會解密、删除并執行名爲“.nttpd”的有效負載,該有效負載會創建一(yī)個具有版本号(當前爲 26)的 PID 文件。随後,惡意軟件設置 iptables 規則以丢棄端口 8080 和 80 上的傳入 TCP 流量,同時允許來自特定 IP 範圍的流量。這種策略可以保護受感染的設備免受外(wài)部幹擾。接下(xià)來,惡意軟件會嘗試聯系合法 NTP 服務器列表,以檢測沙箱環境并驗證互聯網連接。最後,惡意軟件通過循環訪問一(yī)組硬編碼的 IP 地址來與命令和控制 (C2) 服務器連接,C2 會用指令進行響應。在某些情況下(xià),C2 可能會指示惡意軟件檢索其他組件,例如掃描端口 80 和 8080 上易受攻擊的 Web 服務器的蠕蟲模塊或代理受感染設備上流量的“.sox”文件。

Sox 與 Faceless 服務器通信的樣本

Faceless 代理服務

Faceless 是一(yī)項網絡犯罪代理服務,可通過受感染的設備爲僅使用加密貨币付款的客戶路由網絡流量。該服務不使用“了解您的客戶”驗證流程,任何人都可以使用。

購買 Faceless 代理服務的訪問權限

爲了保護他們的基礎設施不被研究人員(yuán)繪制地圖,Faceless 操作員(yuán)确保每台受感染的設備在感染持續期間僅與一(yī)台服務器通信。Black Lotus Labs 報告稱,三分(fēn)之一(yī)的感染會持續 50 天以上,而 15% 的感染會在 48 小(xiǎo)時内消失。這表明後者受到更好的監控,并且可以快速檢測到危害。

受感染設備的生(shēng)命周期盡管 TheMoon 和 Faceless 之間存在明顯的聯系,但這兩個操作似乎是獨立的網絡犯罪生(shēng)态系統,因爲并非所有惡意軟件感染都成爲 Faceless 代理僵屍網絡的一(yī)部分(fēn)。爲了防禦這些僵屍網絡,請使用強管理員(yuán)密碼并将設備的固件升級到解決已知(zhī)缺陷的最新版本。如果設備已達到 EoL,請将其替換爲有效支持的型号。路由器和物(wù)聯網上惡意軟件感染的常見迹象包括連接問題、過熱和可疑的設置更改。

 

 

轉載自E安全