Търсене
Close this search box.

TheMoon проби хиляди рутери ASUS, превръща ги в проксита

Забелязан е нов вариант на зловредния ботнет „TheMoon“, който заразява хиляди остарели рутери за малки и домашни офиси (SOHO) и IoT устройства в 88 държави.

TheMoon е свързан с прокси услугата „Faceless“, която използва някои от заразените устройства като прокси сървъри за маршрутизиране на трафика за киберпрестъпниците, които искат да анонимизират своите злонамерени дейности.

Изследователите от Black Lotus Labs, които наблюдават последната кампания на TheMoon, започнала в началото на март 2024 г., наблюдават, че 6000 рутера ASUS са станали обект на атака за по-малко от 72 часа.

Анализаторите на заплахите съобщават, че в момента зловредни операции като IcedID и SolarMarker използват прокси ботнет, за да прикрият своята онлайн дейност.

Насочване към маршрутизатори ASUS

TheMoon е забелязан за първи път през 2014 г., когато изследователи предупреждават, че зловредният софтуер използва уязвимости, за да заразява устройства LinkSys.

При последната кампания на зловредния софтуер е забелязано заразяване на близо 7000 устройства за една седмица, като от Black Lotus Labs твърдят, че те са насочени предимно към рутери ASUS.

„Чрез глобалната мрежова видимост на Lumen Black Lotus Labs идентифицира логическата карта на прокси услугата Faceless, включително кампания, започнала през първата седмица на март 2024 г., която е насочена към над 6000 рутера ASUS за по-малко от 72 часа“, предупреждават изследователите от Black Lotus Labs.

Изследователите не уточняват точния метод, използван за пробив в рутерите ASUS, но като се има предвид, че моделите на целевите устройства са с изтекъл срок на годност, вероятно нападателите са използвали известни уязвимости във фърмуера.

Нападателите може също така да използват груба сила на паролите на администратора или да тестват данните по подразбиране и слабите удостоверения.

След като злонамереният софтуер получи достъп до устройството, той проверява за наличието на специфични шел среди („/bin/bash“, „/bin/ash“ или „/bin/sh“); в противен случай спира изпълнението.

Ако бъде открита съвместима обвивка, зареждащото устройство декриптира, пуска и изпълнява полезен товар с име „.nttpd“, който създава PID файл с номер на версията (понастоящем 26).

След това зловредният софтуер създава правила на iptables, за да откаже входящия TCP трафик на портове 8080 и 80, като същевременно разрешава трафик от определени IP диапазони. Тази тактика защитава компрометираното устройство от външна намеса.

След това злонамереният софтуер се опитва да се свърже със списък от легитимни NTP сървъри, за да открие средата на пясъчника и да провери интернет свързаността.

Накрая зловредният софтуер се свързва със сървъра за командване и управление (C2), като преминава през набор от твърдо кодирани IP адреси, а C2 отговаря с инструкции.

В някои случаи C2 може да инструктира зловредния софтуер да изтегли допълнителни компоненти, като модул за червей, който сканира за уязвими уеб сървъри на портове 80 и 8080, или файлове „.sox“, които проксират трафика на заразеното устройство.

Прокси услугата Faceless

Faceless е прокси услуга за киберпрестъпления, която маршрутизира мрежовия трафик през компрометирани устройства за клиенти, които плащат изключително в криптовалути. Услугата не използва процес на проверка „познай своя клиент“, което я прави достъпна за всеки.

За да защитят инфраструктурата си от картографиране от изследователите, операторите на Faceless гарантират, че всяко заразено устройство комуникира само с един сървър, докато трае заразяването.

Black Lotus Labs съобщава, че една трета от инфекциите продължават над 50 дни, а 15% се губят за по-малко от 48 часа. Това показва, че последните се наблюдават по-добре и компрометирането се открива бързо.

Въпреки ясната връзка между TheMoon и Faceless, двете операции изглежда са отделни екосистеми за киберпрестъпност, тъй като не всички инфекции със зловреден софтуер стават част от прокси ботнета Faceless.

За да се защитите от тези ботнети, използвайте силни пароли на администратора и актуализирайте фърмуера на устройството си до най-новата версия, която отстранява известните недостатъци. Ако устройството е достигнало EoL, заменете го с активно поддържан модел.

Често срещани признаци за заразяване със злонамерен софтуер на маршрутизатори и IoT включват проблеми със свързаността, прегряване и подозрителни промени в настройките.

 

Източник: e-security.bg

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
17 април 2024

Пробивът на паролите в Sisense предизвиква "зло...

Експертите се опасяват, че компрометирането на Sisense, който разпо...
Бъдете социални
Още по темата
17/04/2024

Последни тенденции при злов...

В днешната дигитална ера киберсигурността се...
10/04/2024

Hов стандарт за интелигентн...

През втората половина на тази година...
08/04/2024

Google въвежда обновена мре...

Почти една година след като беше...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!