Το TheMoon malware μόλυνε 6.000 δρομολογητές της ASUS

Μία νέα παραλλαγή του botnet “TheMoon” malware εντοπίστηκε να μολύνει χιλιάδες μη ενημερωμένους SOHO δρομολογητές ASUS και συσκευές IoT σε 88 χώρες.

Δείτε επίσης: Το malware AZORult εξαπλώνεται μέσω ψεύτικων ιστότοπων Google

Το TheMoon malware συνδέεται με την υπηρεσία “Faceless” πρόσκαιρου διακομιστή, η οποία χρησιμοποιεί μερικές από τις μολυσμένες συσκευές ως διακομιστές για τη δρομολόγηση κυκλοφορίας για κυβερνοεγκληματίες που επιθυμούν να ανωνυμοποιήσουν τις κακόβουλες δραστηριότητές τους.

Οι ερευνητές της Black Lotus Labs παρακολουθούν την πιο πρόσφατη επιδρομή του TheMoon malware, η οποία ξεκίνησε στις αρχές του Μαρτίου του 2024, και έχουν παρατηρήσει ότι περίπου 6.000 δρομολογητές της ASUS έχουν καταστεί στόχος σε λιγότερο από 72 ώρες.

Οι αναλυτές απειλών αναφέρουν ότι οι λειτουργίες malware όπως το IcedID και το SolarMarker χρησιμοποιούν επί του παρόντος το proxy botnet για να αποκρύψουν τη διαδικτυακή τους δραστηριότητα.

Στόχευση δρομολογητών ASUS

Το TheMoon ανιχνεύτηκε για πρώτη φορά το 2014, όταν έρευνες προειδοποίησαν ότι ο κακόβουλος κώδικας εκμεταλλευόταν ευπάθειες για να μολύνει συσκευές LinkSys.

Η πιο πρόσφατη εκστρατεία του TheMoon malware είδε τη μόλυνση σχεδόν 7.000 συσκευών μέσα σε μία εβδομάδα, με την Black Lotus Labs να αναφέρει ότι στοχεύουν κυρίως τους δρομολογητές ASUS.

Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware

Οι ερευνητές δεν αναφέρουν την ακριβή μέθοδο που χρησιμοποιήθηκε για να παραβιάσουν τους δρομολογητές ASUS, αλλά δεδομένου ότι τα μοντέλα συσκευών που επιλέγονται έχουν φτάσει στο τέλος της ζωής τους, είναι πιθανό ότι οι επιτιθέμενοι εκμεταλλεύτηκαν γνωστές ευπάθειες στο firmware.

Οι επιτιθέμενοι ενδέχεται επίσης να χρησιμοποιήσουν brute force για να αποκτήσουν πρόσβαση σε διαχειριστικούς κωδικούς πρόσβασης ή να ελέγξουν προεπιλεγμένα και αδύναμα διαπιστευτήρια.

Αφού το malware αποκτά πρόσβαση σε μια συσκευή, ελέγχει την ύπαρξη συγκεκριμένων περιβαλλόντων κέλυφους (“/bin/bash,” “/bin/ash,” ή “/bin/sh”); διαφορετικά, διακόπτει την εκτέλεση. Όταν ανιχνευθεί ένα συμβατό κέλυφος, ο φορτωτής αποκρυπτογραφεί, αποθέτει και εκτελεί ένα φορτίο με το όνομα “.nttpd“, το οποίο δημιουργεί ένα αρχείο PID με έναν αριθμό έκδοσης (προς το παρόν 26).

Στη συνέχεια, το malware ρυθμίζει κανόνες iptables για να απορρίπτει την εισερχόμενη κυκλοφορία TCP στις θύρες 8080 και 80, ενώ επιτρέπει την κυκλοφορία από συγκεκριμένα εύρη IP. Αυτή η τακτική ασφαλίζει την παραβιασμένη συσκευή από εξωτερικές παρεμβάσεις.

Στη συνέχεια, το malware προσπαθεί να επικοινωνήσει με μια λίστα νόμιμων διακομιστών NTP για να ανιχνεύσει περιβάλλοντα sandbox και να επαληθεύσει τη σύνδεση στο διαδίκτυο. Τελικά, το malware συνδέεται με τον διακομιστή εντολών και ελέγχου (C2) κατά τον περιπλανώμενο κύκλο μέσω μιας σειράς προκαθορισμένων διευθύνσεων IP, και ο C2 ανταποκρίνεται με οδηγίες.

Σε ορισμένες περιπτώσεις, το C2 ενδέχεται να εντολοδοτήσει το TheMoon malware να ανακτήσει επιπλέον στοιχεία, όπως ένα module worm που σαρώνει για ευάλωτους διακομιστές ASUS στις θύρες 80 και 8080 ή αρχεία “.sox” που διαμεσολαβούν την κίνηση στη μολυσμένη συσκευή.

Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware

Ποιες είναι οι τεχνικές ανίχνευσης και προστασίας από malwarre;

Οι τεχνικές ανίχνευσης malware, όπως το TheMoon που στοχεύει διακομιστές ASUS, περιλαμβάνουν την ανάλυση υπογραφών, την ανάλυση συμπεριφοράς και την ανάλυση ευρηματικότητας. Η ανάλυση υπογραφών είναι η πιο συνηθισμένη τεχνική και βασίζεται στην αναζήτηση γνωστών υπογραφών malware σε αρχεία και δικτυακή κίνηση. Η ανάλυση συμπεριφοράς, από την άλλη πλευρά, παρακολουθεί τη συμπεριφορά ενός προγράμματος για να ανακαλύψει τυχόν κακόβουλες δραστηριότητες, όπως την παραβίαση της ασφάλειας, την τροποποίηση αρχείων ή την αποστολή δεδομένων. Η ανάλυση ευρηματικότητας είναι μια πιο προηγμένη τεχνική που χρησιμοποιεί τεχνητή νοημοσύνη και μηχανική εκμάθηση για να αναγνωρίσει τα πρότυπα και τις συμπεριφορές που είναι χαρακτηριστικές του κακόβουλου λογισμικού. Όσον αφορά την προστασία από malware, η εγκατάσταση και η ενημέρωση των προγραμμάτων ασφαλείας, όπως προγράμματα antivirus, είναι ζωτικής σημασίας. Επιπλέον, η εκπαίδευση των χρηστών για τις κυβερνοαπειλές και το πώς να αναγνωρίσουν και να αποφύγουν τις επιθέσεις phishing είναι εξίσου σημαντική.

Πηγή: bleepingcomputer