研究人员发现 40,000 个强大的 EOL 路由器、物联网僵尸网络

Lumen Technologies 的威胁情报分析师发现一个由 40,000 个僵尸网络组成的强大僵尸网络集群，其中充满了用于网络犯罪活动的报废路由器和物联网设备。

根据 Lumen Black Lotus Labs 的最新报告（https://blog.lumen.com/the-darkside-of-themoon/），一个臭名昭著的网络犯罪组织一直在针对世界各地的报废小型家庭/小型办公室 (SOHO) 路由器和物联网设备开展多年攻击活动。

研究人员警告说，该路由器僵尸网络于 2014 年首次出现，一直在悄悄运行，同时在 2024 年 1 月和 2 月增长到来自 88 个国家的 40,000 多个僵尸网络。

“这些机器人中的大多数都被用作臭名昭著的、针对网络犯罪的代理服务的基础，该服务被称为 Faceless。我们最新的跟踪显示，[僵尸网络] 使 Faceless 的新用户数量以每周近 7,000 个的速度增长。”

Black Lotus Labs 的研究人员表示，他们确定了该组织代理服务的逻辑图，其中包括 2024 年 3 月第一周开始的一项活动，该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击。

研究人员指出，据观察，基于 SOHO/IoT 的活动集群每周与数以万计的不同 IP 地址进行通信。Black Lotus Labs 团队表示：“我们的分析表明，该僵尸网络背后的运营商正在将受感染的报废 (EoL) 设备注册到名为 Faceless 的代理服务中。”该服务已成为“一项强大的代理服务，从“iSocks”匿名服务的废墟中诞生，已成为网络犯罪分子混淆其活动的不可或缺的工具。”

研究人员认为，全球范围内针对报废物联网设备的攻击是故意的，因为它们不再受到制造商的支持，而且已知的安全漏洞也没有得到修补。

研究人员警告说：“此类设备有时也有可能被遗忘或遗弃。”

Black Lotus Labs 的研究人员建议企业网络防御者寻找针对弱凭据和可疑登录尝试的攻击，即使这些攻击源自绕过地理围栏和基于 ASN 的阻止住宅 IP 地址。

安全从业人员还应该保护云资产免遭与试图执行密码喷洒攻击的BOT进行通信，并开始使用 Web 应用程序防火墙阻止 IoC。

参考链接：https://www.securityweek.com/researchers-discover-40000-strong-eol-router-iot-botnet/