满足客户利益 提供最优方案

行业新(xīn)闻

TheMoon 恶意软件变种被发现,专家追踪 72 小(xiǎo)时发现 6000 台华硕路由器被攻击

网络安全公司 Black Lotus Labs 近日发布报告,近日追踪发现了名為(wèi)“TheMoon”的恶意软件僵尸网络变种,已经感染了全球 88 个國(guó)家和地區(qū)的数千台 SOHO 路由器和物(wù)联网设备。 

 TheMoon 恶意软件变种被发现,专家追踪 72 小(xiǎo)时发现 6000 台华硕路由器被攻击(图1)

该公司研究人员表示,在 3 月初发现该恶意活动之后,追踪观测 72 小(xiǎo)时内,发现有(yǒu) 6000 台华硕路由器成為(wèi)攻击目标。

安全专家报告称在“TheMoon”活动中,黑客利用(yòng) IcedID 和 SolarMarker 等恶意软件,并通过代理(lǐ)僵尸网络来掩盖其在線(xiàn)活动。

该恶意软件的最新(xīn)活动在一周内感染了近 7000 台设备,Black Lotus Labs 称它们的主要目标是华硕路由器。

Black Lotus Labs 的研究人员报告称通过 Lumen 的全球网络追踪,已经确定了 Faceless 代理(lǐ)服務(wù)的逻辑地图,本次活动始于 2024 年 3 月第一周,在不到 72 小(xiǎo)时内针对 6000 多(duō)台华硕路由器发起攻击。

研究人员没有(yǒu)说明攻破华硕路由器的具體(tǐ)方法,攻击者很(hěn)可(kě)能(néng)利用(yòng)了固件中的已知漏洞。攻击者还可(kě)能(néng)暴力破解管理(lǐ)员密码,或测试默认凭据和弱凭据。

设备一旦感染恶意软件之后,会检查是否存在特定的 shell 环境("/bin/ bash"、"/bin/ ash" 或 "/bin/ sh")。

如果检测到兼容 shell,加载器就会解密、丢弃并执行名為(wèi)“.nttpd”的有(yǒu)效载荷,该有(yǒu)效载荷会创建一个带有(yǒu)版本号(目前為(wèi) 26)的 PID 文(wén)件。

 TheMoon 恶意软件变种被发现,专家追踪 72 小(xiǎo)时发现 6000 台华硕路由器被攻击(图2)

接下来,恶意软件会设置 iptables 规则,阻止 8080 和 80 端口上的 TCP 流量,同时允许来自特定 IP 范围的流量。这种策略可(kě)确保被入侵设备不受外部干扰。恶意软件会尝试联系合法的 NTP 服務(wù)器列表,以检测沙盒环境并验证互联网连接。

最后,恶意软件通过循环使用(yòng)一组硬编码 IP 地址与命令和控制(C2)服務(wù)器连接,C2 则回复指令。

在某些情况下,C2 可(kě)能(néng)会指示恶意软件检索其他(tā)组件,如扫描 80 和 8080 端口易受攻击网络服務(wù)器的蠕虫模块,或在受感染设备上代理(lǐ)流量的 ".sox" 文(wén)件。

TheMoon 恶意软件变种被发现,专家追踪 72 小(xiǎo)时发现 6000 台华硕路由器被攻击(图3)