最近,网络安全公司 Black Lotus Labs 发现了一个名为“TheMoon”的恶意软件僵尸网络变种,它已经感染了全球88个国家和地区的数千台SOHO路由器和物联网设备。在3月初发现该恶意活动后,专家们进行了72小时的追踪,期间发现有6000台华硕路由器成为攻击目标。这些路由器被用来进行各种恶意活动,包括但不限于数据窃取和分布式拒绝服务攻击(DDoS)。
研究人员指出,黑客利用IcedID和SolarMarker等恶意软件,并通过代理僵尸网络来掩盖其在线活动。在这次攻击中,攻击者很可能利用了固件中的已知漏洞,或者通过暴力破解管理员密码、测试默认凭据和弱凭据来攻破路由器。
一旦设备感染了恶意软件,它会检查是否存在特定的shell环境,并加载解密后的有效载荷,该有效载荷会创建一个带有版本号的PID文件。然后,恶意软件会设置iptables规则,阻止特定端口上的TCP流量,同时允许来自特定IP范围的流量,以确保被入侵设备不受外部干扰。此外,恶意软件还会尝试联系合法的NTP服务器列表,以检测沙盒环境并验证互联网连接,最后通过循环使用一组硬编码IP地址与命令和控制(C2)服务器连接,接收指令.
