Black Lotus Labs обнаружила новый вариант вредоносного ПО TheMoon, нацеленный на офисы SOHO и IoT-устройства в 88 странах, которое уже заразило почти 7 000 маршрутизаторов ASUS.
TheMoon связан с анонимным прокси-сервисом Faceless, который использует заражённые устройства для маршрутизации трафика киберпреступников, желающих скрыть свои действия. Вредоносные кампании IcedID и SolarMarker уже используют эту сеть для маскировки своей онлайн-активности.
В ходе обнаруженной кампании было скомпрометировано почти 7 000 устройств за неделю, причём основной целью стали маршрутизаторы ASUS. Атакующие, скорее всего, использовали известные уязвимости в прошивке или методы брутфорса для получения доступа к устройствам.
После проникновения на устройство, вредоносное ПО устанавливает определённые правила для фильтрации трафика и пытается связаться с C2-сервером для получения дальнейших инструкций. В некоторых случаях сервер может загружать дополнительные компоненты для сканирования уязвимых серверов или для проксирования трафика.
Faceless представляет собой прокси-сервис для киберпреступников, который функционирует без процесса верификации клиентов и принимает оплату исключительно в криптовалюте. Чтобы защитить свою инфраструктуру, операторы Faceless ограничивают коммуникацию заражённых устройств с одним сервером на протяжении всего периода заражения.
https://www.securitylab.ru/upload/me...88fwbbfh59.png
Схема работы прокси-сервиса Faceless
Исследование Black Lotus Labs показывает, что около 30% заражений длится более 50 дней, а 15% обнаруживаются и устраняются менее чем за 48 часов.
https://www.securitylab.ru/upload/me...gixnf98dyk.png
Время жизни зараженных устройств
Несмотря на явную связь между TheMoon и Faceless, две операции представляют собой отдельные экосистемы киберпреступности, поскольку не все заражения вредоносным ПО становятся частью ботнета Faceless.
Для защиты от подобных угроз рекомендуется использовать сложные пароли и обновлять прошивку устройств до последней версии, устраняющей известные недостатки. Если устройство устарело и больше не поддерживается производителем, его следует заменить на новую модель с активной поддержкой. Как правило, признаками заражения устройств являются проблемы с подключением, перегрев и подозрительные изменения настроек.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://blog.lumen.com/the-darkside-of-themoon/</pre>