全球数千台路由器及物联网设备遭"TheMoon"恶意软件感染

近期，网络安全公司 Black Lotus Labs发布报告指出，名为“TheMoon”的恶意软件从变种开始扩散，已在全球88个国家和地区多个SOHO路由器及物联网装置中被发现。

3月初发现此恶意活动后，经观察，短短72小时已有6000台华硕路由器被盯梢。黑客运用IcedID、Solarmarker等恶意软件，透过代理僵尸网络掩饰其线上行为。此次行动中，TheMoon在一周内入侵设备超过7000台，尤其锁定华硕路由器作为目标。

研究人员经由Lumen的全球网络跟踪技术，已经找到Faceless代理服务的运行路线图，这次活动最先发生在2024年3月份头两周，仅用时72小时便成功攻击超过6000台华硕路由器。

他们并未提供华硕路由器被攻击的具体方式，不过推测攻击者利用了固件上的已知漏洞。另外，还有可能采用破译管理员密码、尝试默认凭证以及弱凭据等方式进行。

一旦设备遭受恶意软件攻击，它将探测并确认是否存在特定的shell环境（例如“/bin/bash”、 “/bin/ash”或 “/bin/sh”）。若存在相应环境，一个名为“.nttpd”的有效负载便会被解密、丢弃并执行；这个有效负载会生成一份带版本号（现行版本26）的PID文件。

此外，感染系统后，恶意软件会设定iptables规则，阻止TCP流量在8080和80端口流动，同时只允许特定IP区域的流量通过。这种设置可以防止被入侵设备受到外部干扰。随后，恶意软件会尝试链接到一组预先注册的NTP服务器，以确认是否处于沙盒环境且能正常上网。

当攻击成功后，恶意软件通过反复使用固定IP地址与命令和控制（C2）服务器相连；对C2回馈指令。有时，C2也可能命令恶意软件寻找其他组件，比如用于扫描80和8080端口容易受攻击网络服务器的蠕虫模组，或者在被感染设备上辅助流量的 “.sox”文件。