Un nou tip de malware botnet, denumit TheMoon, a fost observat infectând mii de routere și dispozitive IoT învechite destinate birourilor mici și casnicilor (SOHO) în 88 de țări.
TheMoon este legat de serviciul de proxy Faceless, care folosește unele dintre dispozitivele infectate drept proxy-uri pentru a dirija traficul pentru infractorii cibernetici care doresc să-și anonimizeze activitățile malitioase.
Cercetătorii de la Black Lotus Labs care monitorizează ultima campanie TheMoon, care a început la începutul lunii martie 2024, au observat că au fost vizate 6.000 de routere ASUS în mai puțin de 72 de ore.
Analiștii de securitate raportează că operațiuni malware precum IcedID și SolarMarker folosesc în prezent botnetul de proxy pentru a-și masca activitatea online.
TheMoon a fost observat pentru prima dată în 2014 atunci când cercetătorii au avertizat că malware-ul exploata vulnerabilitățile pentru a infecta dispozitive LinkSys.
Campania cea mai recentă a malware-ului a fost văzută infectând aproape 7.000 de dispozitive într-o săptămână, cu Black Lotus Labs afirmând că vizează în principal routerele ASUS.
„Prin vizibilitatea globală a rețelei Lumen, Black Lotus Labs a identificat harta logică a serviciului de proxy Faceless, inclusiv o campanie care a început în prima săptămână a lunii martie 2024 și care a vizat peste 6.000 de routere ASUS în mai puțin de 72 de ore,” avertizează cercetătorii Black Lotus Labs.
Cercetătorii nu specifică metoda exactă folosită pentru a sparge routerele ASUS, dar dat fiind că modelele de dispozitive vizate sunt în faza de sfârșit de viață, este probabil ca atacatorii să fi exploatat vulnerabilități cunoscute în firmware.
Atacatorii pot de asemenea să forțeze parolele de admin sau să testeze parolele implicite și slabe.
Odată ce malware-ul obține acces la un dispozitiv, verifică prezența unor medii shell specifice („/bin/bash,” „/bin/ash,” sau „/bin/sh”); în caz contrar, oprește execuția.
Dacă este detectat un shell compatibil, încărcătorul decriptează, descarcă și execută un payload numit „.nttpd” care creează un fișier PID cu un număr de versiune (26 în prezent).
În continuare, malware-ul stabilește reguli iptables pentru a bloca traficul TCP de intrare pe porturile 8080 și 80, permițând totuși traficul din anumite intervale de IP-uri. Această tactică securizează dispozitivul compromis împotriva interferențelor externe.
Malware-ul încearcă apoi să contacteze o listă de servere NTP legitime pentru a detecta medii sandbox și a verifica conectivitatea la internet.
În cele din urmă, malware-ul se conectează la serverul de comandă și control (C2) trecând printr-o serie de adrese IP hardcodate, iar C2 răspunde cu instrucțiuni.
În unele cazuri, C2 poate instrui malware-ul să recupereze componente suplimentare, precum un modul vierme care scanează pentru servere web vulnerabile pe porturile 80 și 8080 sau fișiere „.sox” care dirijează traficul pe dispozitivul infectat.
Faceless este un serviciu de proxy pentru infracțiuni cibernetice care dirijează traficul de rețea prin dispozitive compromise pentru clienții care plătesc exclusiv în criptomonede. Serviciul nu folosește un proces de verificare „cunoaște-ți-clientul”, fiind disponibil pentru oricine.
Pentru a-și proteja infrastructura de a fi cartografiată de cercetători, operatorii Faceless se asigură că fiecare dispozitiv infectat comunică doar cu un singur server pe toată durata infecției.
Black Lotus Labs raportează că o treime dintre infecții durează peste 50 de zile, în timp ce 15% sunt pierdute în mai puțin de 48 de ore. Acest lucru indică faptul că ultimele sunt monitorizate mai bine și compromiterea este detectată rapid.
În ciuda conexiunii clare între TheMoon și Faceless, cele două operațiuni par să fie ecosisteme de infracțiuni cibernetice separate, deoarece nu toate infecțiile malware devin parte a botnetului de proxying Faceless.
Pentru a vă apăra împotriva acestor botneturi, folosiți parole de admin puternice și actualizați firmware-ul dispozitivului la cea mai recentă versiune care remediază defectele cunoscute. Dacă dispozitivul a ajuns la sfârșitul vieții, înlocuiți-l cu un model susținut activ.
Semnele comune ale unei infecții malware pe routere și dispozitive IoT includ probleme de conectivitate, supraîncălzire și modificări suspecte ale setărilor.
Leave a Reply