近期,网络安全公司 Black Lotus Labs发布报告指出,名为“TheMoon”的恶意软件从变种开始扩散,已在全球88个国家和地区多个SOHO路由器及物联网装置中被发现。
3月初发现此恶意活动后,经观察,短短72小时已有6000台华硕路由器被盯梢。黑客运用IcedID、Solarmarker等恶意软件,透过代理僵尸网络掩饰其线上行为。此次行动中,TheMoon在一周内入侵设备超过7000台,尤其锁定华硕路由器作为目标。
研究人员经由Lumen的全球网络跟踪威廉希尔官方网站 ,已经找到Faceless代理服务的运行路线图,这次活动最先发生在2024年3月份头两周,仅用时72小时便成功攻击超过6000台华硕路由器。
他们并未提供华硕路由器被攻击的具体方式,不过推测攻击者利用了固件上的已知漏洞。另外,还有可能采用破译管理员密码、尝试默认凭证以及弱凭据等方式进行。
一旦设备遭受恶意软件攻击,它将探测并确认是否存在特定的shell环境(例如“/bin/bash”、 “/bin/ash”或 “/bin/sh”)。若存在相应环境,一个名为“.nttpd”的有效负载便会被解密、丢弃并执行;这个有效负载会生成一份带版本号(现行版本26)的PID文件。
此外,感染系统后,恶意软件会设定iptables规则,阻止TCP流量在8080和80端口流动,同时只允许特定IP区域的流量通过。这种设置可以防止被入侵设备受到外部干扰。随后,恶意软件会尝试链接到一组预先注册的NTP服务器,以确认是否处于沙盒环境且能正常上网。
当攻击成功后,恶意软件通过反复使用固定IP地址与命令和控制(C2)服务器相连;对C2回馈指令。有时,C2也可能命令恶意软件寻找其他组件,比如用于扫描80和8080端口容易受攻击网络服务器的蠕虫模组,或者在被感染设备上辅助流量的 “.sox”文件。
-
华硕
+关注
关注
7文章
1597浏览量
62205 -
服务器
+关注
关注
12文章
9129浏览量
85346 -
路由器
+关注
关注
22文章
3728浏览量
113713
发布评论请先 登录
相关推荐
评论