近期,網(wǎng)絡安全公司 Black Lotus Labs發(fā)布報告指出,名為“TheMoon”的惡意軟件從變種開始擴散,已在全球88個國家和地區(qū)多個SOHO路由器及物聯(lián)網(wǎng)裝置中被發(fā)現(xiàn)。
3月初發(fā)現(xiàn)此惡意活動后,經(jīng)觀察,短短72小時已有6000臺華碩路由器被盯梢。黑客運用IcedID、Solarmarker等惡意軟件,透過代理僵尸網(wǎng)絡掩飾其線上行為。此次行動中,TheMoon在一周內(nèi)入侵設備超過7000臺,尤其鎖定華碩路由器作為目標。
研究人員經(jīng)由Lumen的全球網(wǎng)絡跟蹤技術,已經(jīng)找到Faceless代理服務的運行路線圖,這次活動最先發(fā)生在2024年3月份頭兩周,僅用時72小時便成功攻擊超過6000臺華碩路由器。
他們并未提供華碩路由器被攻擊的具體方式,不過推測攻擊者利用了固件上的已知漏洞。另外,還有可能采用破譯管理員密碼、嘗試默認憑證以及弱憑據(jù)等方式進行。
一旦設備遭受惡意軟件攻擊,它將探測并確認是否存在特定的shell環(huán)境(例如“/bin/bash”、 “/bin/ash”或 “/bin/sh”)。若存在相應環(huán)境,一個名為“.nttpd”的有效負載便會被解密、丟棄并執(zhí)行;這個有效負載會生成一份帶版本號(現(xiàn)行版本26)的PID文件。
此外,感染系統(tǒng)后,惡意軟件會設定iptables規(guī)則,阻止TCP流量在8080和80端口流動,同時只允許特定IP區(qū)域的流量通過。這種設置可以防止被入侵設備受到外部干擾。隨后,惡意軟件會嘗試鏈接到一組預先注冊的NTP服務器,以確認是否處于沙盒環(huán)境且能正常上網(wǎng)。
當攻擊成功后,惡意軟件通過反復使用固定IP地址與命令和控制(C2)服務器相連;對C2回饋指令。有時,C2也可能命令惡意軟件尋找其他組件,比如用于掃描80和8080端口容易受攻擊網(wǎng)絡服務器的蠕蟲模組,或者在被感染設備上輔助流量的 “.sox”文件。
-
華碩
+關注
關注
7文章
1592瀏覽量
61923 -
服務器
+關注
關注
12文章
8701瀏覽量
84545 -
路由器
+關注
關注
22文章
3641瀏覽量
112804
發(fā)布評論請先 登錄
相關推薦
評論