近期，網(wǎng)絡(luò)安全公司 Black Lotus Labs發(fā)布報(bào)告指出，名為“TheMoon”的惡意軟件從變種開始擴(kuò)散，已在全球88個國家和地區(qū)多個SOHO路由器及物聯(lián)網(wǎng)裝置中被發(fā)現(xiàn)。

3月初發(fā)現(xiàn)此惡意活動后，經(jīng)觀察，短短72小時已有6000臺華碩路由器被盯梢。黑客運(yùn)用IcedID、Solarmarker等惡意軟件，透過代理僵尸網(wǎng)絡(luò)掩飾其線上行為。此次行動中，TheMoon在一周內(nèi)入侵設(shè)備超過7000臺，尤其鎖定華碩路由器作為目標(biāo)。

研究人員經(jīng)由Lumen的全球網(wǎng)絡(luò)跟蹤技術(shù)，已經(jīng)找到Faceless代理服務(wù)的運(yùn)行路線圖，這次活動最先發(fā)生在2024年3月份頭兩周，僅用時72小時便成功攻擊超過6000臺華碩路由器。

他們并未提供華碩路由器被攻擊的具體方式，不過推測攻擊者利用了固件上的已知漏洞。另外，還有可能采用破譯管理員密碼、嘗試默認(rèn)憑證以及弱憑據(jù)等方式進(jìn)行。

一旦設(shè)備遭受惡意軟件攻擊，它將探測并確認(rèn)是否存在特定的shell環(huán)境（例如“/bin/bash”、 “/bin/ash”或 “/bin/sh”）。若存在相應(yīng)環(huán)境，一個名為“.nttpd”的有效負(fù)載便會被解密、丟棄并執(zhí)行；這個有效負(fù)載會生成一份帶版本號（現(xiàn)行版本26）的PID文件。

此外，感染系統(tǒng)后，惡意軟件會設(shè)定iptables規(guī)則，阻止TCP流量在8080和80端口流動，同時只允許特定IP區(qū)域的流量通過。這種設(shè)置可以防止被入侵設(shè)備受到外部干擾。隨后，惡意軟件會嘗試鏈接到一組預(yù)先注冊的NTP服務(wù)器，以確認(rèn)是否處于沙盒環(huán)境且能正常上網(wǎng)。

當(dāng)攻擊成功后，惡意軟件通過反復(fù)使用固定IP地址與命令和控制（C2）服務(wù)器相連；對C2回饋指令。有時，C2也可能命令惡意軟件尋找其他組件，比如用于掃描80和8080端口容易受攻擊網(wǎng)絡(luò)服務(wù)器的蠕蟲模組，或者在被感染設(shè)備上輔助流量的 “.sox”文件。