《電子技術(shù)應用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > Black Lotus Labs:TheMoon惡意軟件變種被發(fā)現(xiàn)

Black Lotus Labs:TheMoon惡意軟件變種被發(fā)現(xiàn)

6000臺華碩路由器被攻擊
2024-03-27
來源:IT之家

3 月 27 日消息,,網(wǎng)絡(luò)安全公司 Black Lotus Labs 近日發(fā)布報告,近日追蹤發(fā)現(xiàn)了名為“TheMoon”的惡意軟件僵尸網(wǎng)絡(luò)變種,,已經(jīng)感染了全球 88 個國家和地區(qū)的數(shù)千臺 SOHO 路由器和物聯(lián)網(wǎng)設(shè)備,。

1.png

該公司研究人員表示,在 3 月初發(fā)現(xiàn)該惡意活動之后,,追蹤觀測 72 小時內(nèi),,發(fā)現(xiàn)有 6000 臺華碩路由器成為攻擊目標,。

安全專家報告稱在“TheMoon”活動中,,黑客利用 IcedID 和 SolarMarker 等惡意軟件,并通過代理僵尸網(wǎng)絡(luò)來掩蓋其在線活動,。

該惡意軟件的最新活動在一周內(nèi)感染了近 7000 臺設(shè)備,,Black Lotus Labs 稱它們的主要目標是華碩路由器。

Black Lotus Labs 的研究人員報告稱通過 Lumen 的全球網(wǎng)絡(luò)追蹤,,已經(jīng)確定了 Faceless 代理服務(wù)的邏輯地圖,,本次活動始于 2024 年 3 月第一周,在不到 72 小時內(nèi)針對 6000 多臺華碩路由器發(fā)起攻擊,。

研究人員沒有說明攻破華碩路由器的具體方法,,攻擊者很可能利用了固件中的已知漏洞。攻擊者還可能暴力破解管理員密碼,,或測試默認憑據(jù)和弱憑據(jù),。

設(shè)備一旦感染惡意軟件之后,會檢查是否存在特定的 shell 環(huán)境("/bin/ bash",、"/bin/ ash" 或 "/bin/ sh"),。

如果檢測到兼容 shell,加載器就會解密,、丟棄并執(zhí)行名為“.nttpd”的有效載荷,,該有效載荷會創(chuàng)建一個帶有版本號(目前為 26)的 PID 文件。

2.png

接下來,,惡意軟件會設(shè)置 iptables 規(guī)則,,阻止 8080 和 80 端口上的 TCP 流量,同時允許來自特定 IP 范圍的流量。這種策略可確保被入侵設(shè)備不受外部干擾,。

接下來,,惡意軟件會嘗試聯(lián)系合法的 NTP 服務(wù)器列表,以檢測沙盒環(huán)境并驗證互聯(lián)網(wǎng)連接,。

最后,,惡意軟件通過循環(huán)使用一組硬編碼 IP 地址與命令和控制(C2)服務(wù)器連接,C2 則回復指令,。

在某些情況下,,C2 可能會指示惡意軟件檢索其他組件,如掃描 80 和 8080 端口易受攻擊網(wǎng)絡(luò)服務(wù)器的蠕蟲模塊,,或在受感染設(shè)備上代理流量的 ".sox" 文件,。

3.png


雜志訂閱.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。