Эксперты обнаружили новую версию ботнета TheMoon. Жертвами хакеров уже стали тысячи устаревших маршрутизаторов и IoT-устройств в 88 странах мира. Исследователи связывают TheMoon с прокси-сервисом Faceless, который использует некоторые из зараженных устройств в качестве прокси для маршрутизации трафика киберпреступников.
Аналитики Black Lotus Labs компании Lumen, наблюдающие за последней кампанией TheMoon, которая стартовала в начале марта 2024 года, отмечают, что менее чем за 72 часа атакам подверглись более 6000 маршрутизаторов Asus, а суммарно за неделю было заражено более 7000 устройств. Общий размер ботнета, между тем, составляет уже более 40 000 устройств. По данным экспертов, в настоящее время прокси-ботнет используют такие вредоносы, как IcedID и SolarMarker, для маскировки своей деятельности.
Напомним, что впервые червь TheMoon попал на радары экспертов в области информационной безопасности еще в 2014 году, и тогда малварь использовала уязвимости для заражения устройств LinkSys.
Как теперь рассказывают исследователи из Black Lotus Labs, новая кампания злоумышленников нацелена в основном на маршрутизаторы Asus. При этом исследователи не уточняют, как именно были взломаны атакованные маршрутизаторы, но, учитывая, что хакеры атаковали устаревшие девайсы, вероятно, они воспользовались известными уязвимостями в их прошивке. Кроме того, злоумышленники могли воспользоваться брутфорсом и попросту подобрать пароли администраторов.
Получив доступ к устройству, малварь проверяет наличие bin/bash, /bin/ash или /bin/sh. Если их нет, TheMoon прекращает работу. Если же совместимая оболочка найдена, загрузчик расшифровывает и выполняет полезную нагрузку с именем .nttpd, которая создает PID-файл с номером версии (на данный момент 26).
Эта малварь настраивает iptables для проброса входящего TCP-трафика на порты 8080 и 80, при этом разрешая трафик только с определенных диапазонов IP-адресов. Это позволяет защитить взломанное устройство от внешнего вмешательства.
Затем TheMoon пытается связаться со списком легитимных NTP-серверов, чтобы убедиться, что работает не в песочнице, и проверить подключение к интернету. Наконец, вредоносная программа соединяется со своим управляющим сервером, для этого перебирая список жестко закодированных IP-адресов.
В некоторых случаях управляющий сервер может поручить малвари загрузить дополнительные компоненты, например модуль червя, который сканирует уязвимые веб-серверы на портах 80 и 8080, или файлы .sox, которые проксируют трафик на зараженном устройстве.
Исследователи говорят, что эта активность связана с хакерским прокси-сервисом Faceless, который направляет трафик своих клиентов через взломанные устройства, и оплату сервис принимает исключительно в криптовалюте. Также он не использует KYC, не проверяет личности клиентов и доступен для всех желающих.
При этом операторы Faceless защитили свою инфраструктуру от исследователей: каждое зараженное устройство взаимодействует только с одним сервером в течение всего времени заражения. По данным Black Lotus Labs, треть заражений длится более 50 дней, а 15% заканчиваются менее чем за 48 часов.
И хотя связь между TheMoon и Faceless очевидна, исследователи уверены, что это две отдельные киберпреступные экосистемы, поскольку далеко не все зараженные устройства становятся частью прокси-ботнета Faceless.
