近期，網(wǎng)絡安全公司 Black Lotus Labs發(fā)布報告指出，名為“TheMoon”的惡意軟件從變種開始擴散，已在全球88個國家和地區(qū)多個SOHO路由器及物聯(lián)網(wǎng)裝置中被發(fā)現(xiàn)。

3月初發(fā)現(xiàn)此惡意活動后，經(jīng)觀察，短短72小時已有6000臺華碩路由器被盯梢。黑客運用IcedID、Solarmarker等惡意軟件，透過代理僵尸網(wǎng)絡掩飾其線上行為。此次行動中，TheMoon在一周內(nèi)入侵設備超過7000臺，尤其鎖定華碩路由器作為目標。

研究人員經(jīng)由Lumen的全球網(wǎng)絡跟蹤技術，已經(jīng)找到Faceless代理服務的運行路線圖，這次活動最先發(fā)生在2024年3月份頭兩周，僅用時72小時便成功攻擊超過6000臺華碩路由器。

他們并未提供華碩路由器被攻擊的具體方式，不過推測攻擊者利用了固件上的已知漏洞。另外，還有可能采用破譯管理員密碼、嘗試默認憑證以及弱憑據(jù)等方式進行。

一旦設備遭受惡意軟件攻擊，它將探測并確認是否存在特定的shell環(huán)境（例如“/bin/bash”、 “/bin/ash”或 “/bin/sh”）。若存在相應環(huán)境，一個名為“.nttpd”的有效負載便會被解密、丟棄并執(zhí)行；這個有效負載會生成一份帶版本號（現(xiàn)行版本26）的PID文件。

此外，感染系統(tǒng)后，惡意軟件會設定iptables規(guī)則，阻止TCP流量在8080和80端口流動，同時只允許特定IP區(qū)域的流量通過。這種設置可以防止被入侵設備受到外部干擾。隨后，惡意軟件會嘗試鏈接到一組預先注冊的NTP服務器，以確認是否處于沙盒環(huán)境且能正常上網(wǎng)。

當攻擊成功后，惡意軟件通過反復使用固定IP地址與命令和控制（C2）服務器相連；對C2回饋指令。有時，C2也可能命令惡意軟件尋找其他組件，比如用于掃描80和8080端口容易受攻擊網(wǎng)絡服務器的蠕蟲模組，或者在被感染設備上輔助流量的 “.sox”文件。