月球恶意软件在72小时内感染了6000台华硕路由器的代理服务

一种新型的“TheMoon”僵尸网络恶意软件被发现感染了88个国家的数千台过时的小型办公室和家庭办公室(SOHO)路由器和物联网设备。

“月球”连接到“无脸”代理服务，该服务使用一些受感染的设备作为代理，为希望匿名化恶意活动的网络犯罪分子路由流量。

黑莲花实验室的研究人员监测了最新的TheMoon攻击活动，该活动始于2024年3月初，他们观察到，在不到72小时的时间里，有6000台华硕路由器成为了攻击目标。

威胁分析人员报告说，像IcedID和SolarMarker这样的恶意软件操作目前使用代理僵尸网络来混淆他们的在线活动。

瞄准华硕路由器

“月亮”于2014年首次被发现，当时研究人员警告称，该恶意软件正在利用漏洞感染LinkSys设备。

该恶意软件的最新活动在一周内感染了近7000台设备，黑莲花实验室表示，他们主要针对华硕路由器。

黑莲花实验室的研究人员警告说:“通过Lumen的全球网络可见性，黑莲花实验室已经确定了Faceless代理服务的逻辑地图，包括从2024年3月的第一周开始的攻击活动，在不到72小时的时间内攻击了6000多台华硕路由器。”

研究人员没有详细说明攻击华硕路由器的确切方法，但考虑到目标设备型号已经报废，攻击者很可能利用了固件中的已知漏洞。

攻击者还可能暴力破解管理密码或测试默认凭证和弱凭证。

一旦恶意软件获得对设备的访问权，它就会检查特定shell环境的存在(“/bin/bash”、“/bin/ash”或“/bin/sh”);否则，停止执行。

如果检测到兼容shell，加载器将解密、删除并执行名为“”的负载。nttpd”，它创建一个带有版本号的PID文件(目前是26)。

接下来，恶意软件设置iptables规则来丢弃端口8080和80上的传入TCP流量，同时允许来自特定IP范围的流量。这种策略可以保护受损设备免受外部干扰。

恶意软件接下来尝试联系合法NTP服务器列表来检测沙箱环境并验证互联网连接。

最后，恶意软件通过一组硬编码的IP地址循环与命令和控制(C2)服务器连接，C2用指令响应。

在某些情况下，C2可能会指示恶意软件检索其他组件，例如扫描端口80和8080或端口上的易受攻击的web服务器的蠕虫模块。Sox”文件代理受感染设备上的流量。

Sox示例与Faceless服务器通信

原文始发于微信公众号（HackSee）：月球恶意软件在72小时内感染了6000台华硕路由器的代理服务