THEMOON BOT在一月和二月感染了4万台设备

Lumen Technologies的黑莲花实验室团队发现了“TheMoon”僵尸网络的更新版本，它针对即将报废的家庭/小型办公室（SOHO）路由器和物联网设备。这个新版本的僵尸网络已经被发现感染了88个国家中数千台过时设备。

TheMoon僵尸网络的活动首次出现在2014年，自2017年以来，其运营商至少添加了6个物联网设备漏洞利用代码。该僵尸网络瞄准了来自多个厂商的宽带调制解调器或路由器，包括Linksys、ASUS、MikroTik、D-Link和GPON路由器。

2018年5月，奇虎360网络实验室的研究人员报告称，针对Dasan GPON路由器的网络犯罪分子正在利用同一批路由器的另一个新零日漏洞，并将它们招募到他们的僵尸网络中。2019年2月，CenturyLink威胁研究实验室收集到证据表明，僵尸网络参与者已将这个代理僵尸网络作为服务出售给其他网络犯罪团伙，他们将其用于凭证破解、视频广告欺诈、一般流量混淆等活动。

黑莲花实验室团队发现的TheMoon变种观察到在2024年1月和2月瞄准了来自88个国家的超过4万个僵尸网络。大多数僵尸网络与一个臭名昭著的以网络犯罪为焦点的代理服务“无面者”相关联。

根据专家的说法，僵尸网络TheMoon正以近每周新增近7,000名用户的速度促进了无面者服务的增长。黑莲花实验室发布的报告称：“Black Lotus Labs已经确定了无面者代理服务的逻辑地图，包括从2024年3月第一周开始的一个活动，仅在不到72小时内就针对了超过6,000台华硕路由器。无面者对于寻求匿名性的网络犯罪分子来说是一个理想选择，我们的遥测数据显示，这个网络被SolarMarker和IcedID等僵尸网络的操作者所使用。” 感染链首先使用一个轻量级加载程序文件。最初，它扫描是否存在“/bin/bash”、“/bin/ash”或“/bin/sh”。如果未检测到这些shell中的任何一个，则文件会停止执行。但是，如果存在任何一个这些shell，它就会解密、存储并执行随后的阶段负载“.nttpd”。之后，它检查文件“.nttpd.pid”。如果该文件不存在，则生成该文件并记录进程的PID以及固定版本26。如果“.nttpd.pid”已经存在，则打开该文件。如果版本比26更新，则终止所有名为“.nttpd.pid”的进程。然后二进制文件设置这些iptables规则，拒绝端口8080和80上的传入TCP流量，同时接受特定地址的流量。规则创建后，一个线程连接到真实NTP服务器名单中的一个NTP服务器。研究人员认为，恶意软件连接到NTP以验证受感染设备的互联网连接，并确认其不在沙箱环境中运行。然后，僵尸程序通过循环遍历一组硬编码IP地址连接到C2服务器，并等待来自C2的指令。“C2可能会回复一个数据包，给出特定的文件名和可以检索该文件的位置。然后受感染设备请求并下载相应的ELF可执行文件。” 报告继续说道：“到目前为止，我们已经确定了两个后续模块，其中一个似乎是一个蠕虫，而另一个文件名为“.sox”，用于代表用户将流量从僵尸程序代理到互联网上。”

原文始发于微信公众号（黑猫安全）：THEMOON BOT在一月和二月感染了4万台设备