大型 TheMoon 机器人活动针对过时的路由器和物联网设备 媒体
TheMoon Botnet 攻击影响全球多达 40000 台设备
重点总结
TheMoon Botnet 在2024年初的攻击影响了88个国家的4万多台小型办公和家庭办公路由器。近期攻击在不到三天的时间内影响了超过6000台 Asus 路由器。Botnet 被用于支持 Faceless 网络犯罪代理服务,促使该服务每周用户增长近7000人。2024年前两个月,一个更新版的 TheMoon botnet 变种 已经影响了88个国家的超过40000台生命周期结束的小型办公室和家庭办公室路由器及物联网设备。而在本月初,TheMoon 进行的一次最新攻击在不足三天的时间内侵入了超过6000台 Asus 路由器,安全事务 报道称。
大部分的被感染设备被用于支持 Faceless 网络犯罪代理服务,该服务之前由 IcedID 和 SolarMarker botnet 操作人员使用。根据 Lumen Technologies 的 Black Lotus Labs 报告,TheMoon 每周为该服务带来了近7000的用户增长。攻击从一个加载程序文件的提交开始,该文件能够扫描特定的 shell,当这些 shell 存在时,会触发下一阶段的“ nttpd”有效负载解密、注入和执行。
随后,研究人员表示,进一步的扫描会在建立 iptable 规则之前进行,这些规则允许 TheMoon 连接到 NTP 服务器和命令控制服务器,接下来会下载 ELF 可执行文件。
研究人员补充道:“到目前为止,我们已经识别出两个后续模块,其中一个似乎是蠕虫,而另一个文件名为 ‘sox’,用于代表用户将流量从 bot 代理到互联网。”
旋风加速npv这表明,TheMoon Botnet 不仅在数量上影响了设备,还改进了其攻击策略和功能,使其能够更有效地进行网络攻击和数据窃取。
类别描述影响设备数量40000 多台涉及国家88 个近期事件超过 6000 台 Asus 路由器受到攻击每周用户增长近 7000 人主要模块加载程序、传播蠕虫、代理流量 sox 文件
