設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

TheMoon 惡意軟件變種被發(fā)現(xiàn),專家追蹤 72 小時(shí)發(fā)現(xiàn) 6000 臺(tái)華碩路由器被攻擊

2024/3/27 11:19:52 來(lái)源:IT之家 作者:故淵 責(zé)編:故淵

IT之家 3 月 27 日消息,網(wǎng)絡(luò)安全公司 Black Lotus Labs 近日發(fā)布報(bào)告,近日追蹤發(fā)現(xiàn)了名為“TheMoon”的惡意軟件僵尸網(wǎng)絡(luò)變種,已經(jīng)感染了全球 88 個(gè)國(guó)家和地區(qū)的數(shù)千臺(tái) SOHO 路由器和物聯(lián)網(wǎng)設(shè)備。

該公司研究人員表示,在 3 月初發(fā)現(xiàn)該惡意活動(dòng)之后,追蹤觀測(cè) 72 小時(shí)內(nèi),發(fā)現(xiàn)有 6000 臺(tái)華碩路由器成為攻擊目標(biāo)。

安全專家報(bào)告稱在“TheMoon”活動(dòng)中,黑客利用 IcedID 和 SolarMarker 等惡意軟件,并通過代理僵尸網(wǎng)絡(luò)來(lái)掩蓋其在線活動(dòng)。

該惡意軟件的最新活動(dòng)在一周內(nèi)感染了近 7000 臺(tái)設(shè)備,Black Lotus Labs 稱它們的主要目標(biāo)是華碩路由器。

Black Lotus Labs 的研究人員報(bào)告稱通過 Lumen 的全球網(wǎng)絡(luò)追蹤,已經(jīng)確定了 Faceless 代理服務(wù)的邏輯地圖,本次活動(dòng)始于 2024 年 3 月第一周,在不到 72 小時(shí)內(nèi)針對(duì) 6000 多臺(tái)華碩路由器發(fā)起攻擊。

研究人員沒有說明攻破華碩路由器的具體方法,攻擊者很可能利用了固件中的已知漏洞。攻擊者還可能暴力破解管理員密碼,或測(cè)試默認(rèn)憑據(jù)和弱憑據(jù)。

設(shè)備一旦感染惡意軟件之后,會(huì)檢查是否存在特定的 shell 環(huán)境("/bin/ bash"、"/bin/ ash" 或 "/bin/ sh")。

如果檢測(cè)到兼容 shell,加載器就會(huì)解密、丟棄并執(zhí)行名為“.nttpd”的有效載荷,該有效載荷會(huì)創(chuàng)建一個(gè)帶有版本號(hào)(目前為 26)的 PID 文件。

接下來(lái),惡意軟件會(huì)設(shè)置 iptables 規(guī)則,阻止 8080 和 80 端口上的 TCP 流量,同時(shí)允許來(lái)自特定 IP 范圍的流量。這種策略可確保被入侵設(shè)備不受外部干擾。

接下來(lái),惡意軟件會(huì)嘗試聯(lián)系合法的 NTP 服務(wù)器列表,以檢測(cè)沙盒環(huán)境并驗(yàn)證互聯(lián)網(wǎng)連接。

最后,惡意軟件通過循環(huán)使用一組硬編碼 IP 地址與命令和控制(C2)服務(wù)器連接,C2 則回復(fù)指令。

在某些情況下,C2 可能會(huì)指示惡意軟件檢索其他組件,如掃描 80 和 8080 端口易受攻擊網(wǎng)絡(luò)服務(wù)器的蠕蟲模塊,或在受感染設(shè)備上代理流量的 ".sox" 文件。

IT之家附上參考地址

廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:路由器,華碩

軟媒旗下網(wǎng)站: IT之家 最會(huì)買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會(huì)買 要知