Współczesna cyberprzestępczość wykorzystuje strategie podobne do usług w chmurze lub usług zdalnych, w ramach kooperacji między różnymi zespołami, które chcą osiągnąć ten sam cel. Najnowsza tego typu kooperacja ma na celu złamanie zabezpieczeń routerów i przekształcenie ich w boty proxy.
Badacze z Black Lotus Labs odkryli nową złośliwą kampanię obejmującą zaktualizowaną wersję „TheMoon” – rodziny malware zidentyfikowanej po raz pierwszy dziesięć lat temu. Najnowszy wariant TheMoon najwyraźniej został zaprojektowany w celu wykorzystania niezabezpieczonych routerów domowych i innych urządzeń IoT, które są następnie wykorzystywane do kierowania ruchu przestępczego przez „komercyjną” usługę proxy znaną jako Faceless.
Badacze z Black Lotus Labs odkryli nową złośliwą kampanię obejmującą zaktualizowaną wersję „TheMoon”.
Analitycy Black Lotus wyjaśniają, że botnet TheMoon działał „po cichu”, atakując ponad 40 000 urządzeń z 88 różnych krajów w pierwszych dwóch miesiącach 2024 r. Nowa kampania rozpoczęła się w pierwszym tygodniu marca i najwyraźniej skupiała się na włamywaniu się do routerów Asusa. W niecałe 72 godziny szkodliwe oprogramowanie zainfekowało ponad 6000 urządzeń sieciowych.
Black Lotus nie podaje szczegółowych informacji na temat metod wykorzystywanych przez złośliwe oprogramowanie do infekowania routerów. Przestępcy prawdopodobnie wykorzystują znane luki w zabezpieczeniach, aby zamienić urządzenia wycofane ze sprzedaży w złośliwe boty. Po złamaniu zabezpieczeń routera, TheMoon szuka określonych środowisk powłoki, w których mógłby wykorzystać swój główny szkodliwy kod.
Malware ma za zadanie rutynowo odrzucać przychodzący ruch TCP na portach 8080 i 80, jednocześnie zezwalając na pakiety z określonych zakresów adresów IP. Po sprawdzeniu środowisk sandboxa (poprzez ruch NTP) i zweryfikowaniu połączenia internetowego, TheMoon próbuje połączyć się z centrum dowodzenia, pytając cyberprzestępców o instrukcje.
Malware może następnie pobrać dodatkowe szkodliwe komponenty, w tym moduł przypominający robaka, który może skanować w poszukiwaniu podatnych na ataki serwerów HTTP, a także pobierać pliki .sox, które umożliwiają zaatakowanemu urządzeniu działanie jak serwer proxy. Większość routerów Asusa zainfekowanych najnowszym wariantem TheMoon została zmapowana jako boty należące do Faceless, znanej usługi proxy wykorzystywanej przez operacje szkodliwego oprogramowania, takie jak IcedID i SolarMarker.
Cyberprzestępcy mogą wykorzystywać Faceless do zaciemniania szkodliwego ruchu, płacąc za usługę kryptowalutami. Badacze Black Lotus twierdzą, że jedna trzecia infekcji trwa ponad 50 dni, a 15 procent z nich przestaje działać w ciągu kilku dni. TheMoon i Faceless wydają się być dwiema zupełnie różnymi operacjami przestępczymi, choć teraz mają wspólny interes.
Black Lotus twierdzi, że użytkownicy mogą chronić się przed zagrożeniami IoT, używając silnych haseł i aktualizując firmware swoich urządzeń sieciowych do najnowszej dostępnej wersji. Routery pozbawione już wsparcia, takie jak te modele Asusa, na które celuje TheMoon, należy jednak zastąpić nowszymi, nadal wspieranymi urządzeniami.
Pokaż / Dodaj komentarze do: Nowy wariant malware „TheMoon” obrał za cel tysiące routerów Asusa