Black Lotus Labs 研究人员对 2024 年 3 月上旬开始的最新 TheMoon 活动进行监控,发现 72 小时内有 6,000 台老旧华硕路由器成为攻击目标。TheMoon 与Faceless代理服务相关联,该服务使用一些受感染的设备作为代理,为希望匿名其恶意活动的网络犯罪分子路由流量。
Black Lotus Labs 已经确定了 Faceless 代理服务的逻辑图,其中包括一项于 2024 年 3 月第一周开始的活动,该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击。研究人员没有具体说明用于破坏华硕路由器的确切方法,但鉴于目标设备型号已停产,攻击者很可能利用了固件中的已知漏洞。 攻击者还可能暴力破解管理员密码或测试默认和弱凭据。
一旦恶意软件获得对设备的访问权限,它就会检查是否存在特定的 shell 环境(“/bin/bash”、“/bin/ash”或“/bin/sh”), 否则,它会停止执行。
如果检测到兼容的 shell,加载程序会解密、删除并执行名为“.nttpd”的有效负载,该有效负载会创建一个具有版本号(当前为 26)的 PID 文件。
接下来,恶意软件设置 iptables 规则以丢弃端口 8080 和 80 上的传入 TCP 流量,同时允许来自特定 IP 范围的流量。 这种策略可以保护受感染的设备免受外部干扰。
接下来,恶意软件会尝试联系合法 NTP 服务器列表,以检测沙箱环境并验证互联网连接。
最后,恶意软件通过循环访问一组硬编码的 IP 地址来与命令和控制 (C2) 服务器连接,C2 会用指令进行响应。
在某些情况下,C2 可能会指示恶意软件检索其他组件,例如扫描端口 80 和 8080 上易受攻击的 Web 服务器的蠕虫模块或代理受感染设备上流量的“.sox”文件。
尽管 TheMoon 和 Faceless 之间存在明显的联系,但这两个操作似乎是独立的网络犯罪生态系统,因为并非所有恶意软件感染都成为 Faceless 代理僵尸网络的一部分。
为了防御这些僵尸网络,请使用强管理员密码并将设备的固件升级到解决已知缺陷的最新版本。 如果设备已达到 使用期限,无法升级,请替换新的型号。
Faceless 代理服务:Faceless 是一项网络犯罪代理服务,可通过受感染的设备为仅使用加密货币付款的客户路由网络流量。 该服务不使用“了解您的客户”验证流程,任何人都可以使用。为了保护其基础设施不被研究人员绘制地图,Faceless 操作员确保在感染持续期间,每台受感染的设备仅与一台服务器通信。
