TheMoon-malware infecteert 6.000 ASUS-routers in 72 uur voor proxy-service

  • Onderwerp starter Onderwerp starter Abraham54
  • Startdatum Startdatum
  • Reacties 0
  • Weergaven 731

TheMoon-malware infecteert 6.000 ASUS-routers in 72 uur voor proxy-service​

Door Bill Toulas
Publicatie van BleepingComputer


Faceless-hacker-moon.jpg



Er is een nieuwe variant van "TheMoon" malware botnet ontdekt dat duizenden verouderde routers voor kleine kantoren en
thuiskantoren (SOHO) en IoT-apparaten in 88 landen infecteert.

TheMoon is gekoppeld aan de "Faceless" proxy service, die sommige van de geïnfecteerde apparaten gebruiken als proxy's om
verkeer te routeren voor cybercriminelen die hun kwaadaardige activiteiten willen anonimiseren.

Onderzoekers van Black Lotus Labs die de nieuwste TheMoon-campagne volgen, die begin maart 2024 van start ging, hebben
gezien dat 6.000 ASUS-routers het doelwit werden in minder dan 72 uur.

De dreigingsanalisten melden dat malware-operaties zoals IcedID en SolarMarker momenteel het proxy-botnet gebruiken om
hun online activiteiten te verdoezelen.

overview.png

Overzicht van de proxyservice Faceless
Bron: Zwarte Lotus Labs


ASUS-routers als doelwit​

TheMoon werd voor het eerst opgemerkt in 2014 toen onderzoekers waarschuwden dat de malware kwetsbaarheden misbruikte om
LinkSys-apparaten te infecteren.

De nieuwste campagne van de malware infecteerde bijna 7.000 apparaten in een week tijd, waarbij Black Lotus Labs aangaf dat de
malware zich voornamelijk richt op ASUS-routers.

"Via Lumen's wereldwijde netwerkzichtbaarheid heeft Black Lotus Labs de logische kaart van de Faceless proxyservice geïdentificeerd,
inclusief een campagne die begon in de eerste week van maart 2024 en die zich richtte op meer dan 6.000 ASUS-routers in minder
dan 72 uur", waarschuwen de onderzoekers van Black Lotus Labs.

De onderzoekers specificeren niet de exacte methode die werd gebruikt om de ASUS-routers binnen te dringen, maar gezien het feit
dat de beoogde apparaatmodellen end-of-life zijn, is het waarschijnlijk dat de aanvallers gebruik maakten van bekende
kwetsbaarheden in de firmware.

De aanvallers kunnen ook beheerderswachtwoorden forceren of standaard en zwakke referenties testen.

Zodra de malware toegang krijgt tot een apparaat, controleert het op de aanwezigheid van specifieke shell-omgevingen
("/bin/bash," "/bin/ash," of "/bin/sh"); anders stopt het de uitvoering.

Als een compatibele shell wordt gedetecteerd, decodeert, dropt en voert de loader een payload met de naam ".nttpd" uit die een
PID-bestand met een versienummer aanmaakt (momenteel 26).

Vervolgens stelt de malware iptables regels in om inkomend TCP-verkeer op poorten 8080 en 80 te laten vallen terwijl verkeer van
specifieke IP-bereiken wordt toegestaan. Deze tactiek beveiligt het gecompromitteerde apparaat tegen interferentie van buitenaf.

De malware probeert vervolgens contact op te nemen met een lijst van legitieme NTP-servers om sandbox-omgevingen te
detecteren en internetconnectiviteit te verifiëren.

Ten slotte maakt de malware verbinding met de commando- en controleserver (C2) door een reeks vast gecodeerde IP-adressen
te doorlopen en de C2 antwoordt met instructies.

In sommige gevallen kan de C2 de malware opdracht geven om extra componenten op te halen, zoals een wormmodule die scant
op kwetsbare webservers op poorten 80 en 8080 of ".sox"-bestanden die proxyverkeer op het geïnfecteerde apparaat mogelijk maken.


sox-com.png

Sox-voorbeeld dat communiceert met een Faceless-server
Bron: Zwarte Lotus Labs


De proxyservice Faceless​

Faceless is een cybercrime proxy service die netwerkverkeer door gecompromitteerde apparaten routeert voor klanten die
uitsluitend in cryptocurrencies betalen. De service maakt geen gebruik van een "ken-je-klant" verificatieproces, waardoor het voor
iedereen beschikbaar is.


purchase.png

Toegang kopen tot de proxyservice Faceless
Bron: Zwarte Lotus Labs


Om hun infrastructuur te beschermen tegen het in kaart brengen door onderzoekers, zorgen de beheerders van Faceless ervoor dat
elk geïnfecteerd apparaat met slechts één server communiceert zolang de infectie duurt.

Black Lotus Labs rapporteert dat een derde van de infecties meer dan 50 dagen duurt, terwijl 15% verloren gaat in minder dan 48 uur.
Dit geeft aan dat de laatste beter worden gecontroleerd en dat de compromittering snel wordt gedetecteerd.


time.png

Toegang kopen tot de proxyservice Faceless
Bron: Zwarte Lotus Labs


Om hun infrastructuur te beschermen tegen het in kaart brengen door onderzoekers, zorgen de beheerders van Faceless ervoor dat
elk geïnfecteerd apparaat met slechts één server communiceert zolang de infectie duurt.

Black Lotus Labs rapporteert dat een derde van de infecties meer dan 50 dagen duurt, terwijl 15% verloren gaat in minder dan 48
uur. Dit geeft aan dat de laatste beter worden gecontroleerd en dat de compromittering snel wordt gedetecteerd.
 
Terug
Bovenaan Onderaan