TheMoon惡意軟件新變種肆虐:全球數(shù)千SOHO路由器遭感染,F(xiàn)aceless代理服務成幫兇
近期�,網(wǎng)絡安全研究人員發(fā)現(xiàn)了一種名為“TheMoon”的惡意軟件新變種正在全球范圍內(nèi)肆虐,感染了88個國家的數(shù)千個小型辦公室和家庭辦公室(SOHO)路由器和物聯(lián)網(wǎng)設備��。這一變種與名為“Faceless”的代理服務緊密相關,后者利用受感染設備作為代理�����,為希望匿名其惡意活動的網(wǎng)絡犯罪分子提供流量路由服務�。
據(jù)Black Lotus Labs研究人員的監(jiān)控數(shù)據(jù)顯示,從2024年3月上旬開始�,TheMoon的最新活動在短短72小時內(nèi)就針對了6,000臺華碩路由器進行了攻擊。這些攻擊顯示出高度的針對性和有效性���,嚴重威脅著全球網(wǎng)絡的安全穩(wěn)定����。
TheMoon惡意軟件首次被發(fā)現(xiàn)于2014年�,當時它主要利用漏洞感染LinkSys設備。然而�����,隨著時間的推移����,該惡意軟件不斷進化,其最新變種專門針對華碩路由器進行攻擊����。研究人員指出���,攻擊者可能利用了這些設備固件中的已知漏洞,或者通過暴力破解管理員密碼或測試默認和弱憑據(jù)來獲取對設備的訪問權限��。
一旦惡意軟件成功入侵設備�����,它將檢查是否存在特定的shell環(huán)境��,并解密���、刪除并執(zhí)行有效負載。隨后�����,惡意軟件會設置iptables規(guī)則以保護受感染設備免受外部干擾���,并嘗試與命令和控制(C2)服務器建立連接以接收指令��。在某些情況下���,C2服務器還可能指示惡意軟件檢索其他組件��,如蠕蟲模塊或代理文件��,以進一步擴大感染范圍或增強其功能�����。
Faceless代理服務作為一種網(wǎng)絡犯罪代理服務���,為惡意軟件提供了匿名流量路由的能力。該服務允許客戶僅使用加密貨幣付款�,并且不需要進行任何客戶驗證流程,使得任何人都可以輕易地使用它�����。為了保護其基礎設施的安全��,F(xiàn)aceless操作員會確保每臺受感染設備在感染期間僅與一臺服務器通信����。
然而,盡管TheMoon和Faceless之間存在明顯的聯(lián)系,但這兩個操作似乎是獨立的網(wǎng)絡犯罪生態(tài)系統(tǒng)���。并非所有TheMoon惡意軟件感染都會成為Faceless代理僵尸網(wǎng)絡的一部分�����,這表明它們可能只是利用了相同的漏洞或技術來進行攻擊�����。
為了防御這些僵尸網(wǎng)絡的攻擊���,網(wǎng)絡安全專家建議用戶采取一系列措施。首先���,使用強管理員密碼并定期更換密碼�,以減少暴力破解的風險�。其次�,將設備的固件升級到最新版本,以修復已知的安全漏洞�。如果設備已經(jīng)達到使用壽命終點(EoL),建議將其替換為有效支持的型號�。此外,密切關注路由器和物聯(lián)網(wǎng)設備的狀態(tài),及時發(fā)現(xiàn)并處理可疑的連接問題����、過熱和設置更改等跡象。
TheMoon惡意軟件新變種的肆虐再次提醒我們網(wǎng)絡安全的重要性�。只有加強防范意識和采取有效措施,才能保護我們的網(wǎng)絡設備免受惡意攻擊和侵害�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
