Black Lotus Labs обнаружила новый вариант вредоносного ПО TheMoon, нацеленный на офисы SOHO и IoT-устройства в 88 странах, которое уже заразило почти 7 000 маршрутизаторов ASUS.
TheMoon связан с анонимным прокси-сервисом Faceless, который использует заражённые устройства для маршрутизации трафика киберпреступников, желающих скрыть свои действия. Вредоносные кампании IcedID и SolarMarker уже используют эту сеть для маскировки своей онлайн-активности.
В ходе обнаруженной кампании было скомпрометировано почти 7 000 устройств за неделю, причём основной целью стали маршрутизаторы ASUS. Атакующие, скорее всего, использовали известные уязвимости в прошивке или методы брутфорса для получения доступа к устройствам.
После проникновения на устройство, вредоносное ПО устанавливает определённые правила для фильтрации трафика и пытается связаться с C2-сервером для получения дальнейших инструкций. В некоторых случаях сервер может загружать дополнительные компоненты для сканирования уязвимых серверов или для проксирования трафика.
Faceless представляет собой прокси-сервис для киберпреступников, который функционирует без процесса верификации клиентов и принимает оплату исключительно в криптовалюте. Чтобы защитить свою инфраструктуру, операторы Faceless ограничивают коммуникацию заражённых устройств с одним сервером на протяжении всего периода заражения.
Схема работы прокси-сервиса Faceless
Исследование Black Lotus Labs показывает, что около 30% заражений длится более 50 дней, а 15% обнаруживаются и устраняются менее чем за 48 часов.
Время жизни зараженных устройств
Несмотря на явную связь между TheMoon и Faceless, две операции представляют собой отдельные экосистемы киберпреступности, поскольку не все заражения вредоносным ПО становятся частью ботнета Faceless.
Для защиты от подобных угроз рекомендуется использовать сложные пароли и обновлять прошивку устройств до последней версии, устраняющей известные недостатки. Если устройство устарело и больше не поддерживается производителем, его следует заменить на новую модель с активной поддержкой. Как правило, признаками заражения устройств являются проблемы с подключением, перегрев и подозрительные изменения настроек.
Code:
https://blog.lumen.com/the-darkside-of-themoon/
01-24-2025, 12:08 AM
Threaded Mode