Команда Black Lotus Labs из Lumen Technologies обнаружила многолетнюю кампанию нападений на маршрутизаторы и IoT-устройства малого дома/малого офиса (SOHO) с использованием вредоносного программного обеспечения "TheMoon". В январе и феврале 2024 года количество зараженных ботов превысило 40 000 из 88 стран. Основное назначение большинства этих ботов - обеспечить рост прокси-сервиса Faceless, популярного у киберпреступников. Lumen Technologies заблокировала трафик, связанный с Faceless и TheMoon, и публикует индикаторы компрометации (IoC) для обнаружения и предотвращения этих угроз.
Анализ вредоносного ПО показал, что процесс заражения прокси-устройств-жертв начинается с загрузки файла-загрузчика, который проводит ряд проверок и выполняет полезную нагрузку следующего этапа. Затем устанавливаются правила iptable и устанавливается связь с NTP-сервером. Далее осуществляется попытка установить соединение с заданными IP-адресами и отправить пакет регистрации. В ответ C2 может отправить информацию о файле, который необходимо загрузить. Зараженное устройство запрашивает и загружает соответствующий исполняемый файл ELF. Идентифицированы два последующих модуля - червь и ".sox" для проксирования трафика от бота в интернет.
Анализ позволил выявить логическую карту прокси-сервиса Faceless и связанных с ним активностей, включая атаки на маршрутизаторы ASUS. Faceless является идеальным выбором для киберпреступников, которые стремятся оставаться анонимными. Он также используется операторами других бот-сетей, таких как SolarMarker и IcedID. Black Lotus Labs благодарит компанию Spur за их вклад в исследование и противодействие этой угрозе.
Indicators of Compromise
IPv4
- 104.200.72.120
- 128.140.115.231
- 135.181.47.22
- 159.69.126.211
- 185.156.73.110
- 185.165.190.171
- 185.246.128.181
- 188.92.72.129
- 188.92.79.110
- 188.92.79.115
- 188.92.79.116
- 195.3.144.185
- 195.3.147.73
- 31.43.185.85
- 45.11.59.209
- 49.13.126.124
- 65.108.96.201
- 91.215.158.118
- 92.63.197.133
IPv4 Port Combinations
- 45.143.201.87:32123
SHA256
- 29f809f7f128dba027e88df323fb717368086389f46adad44ee3fb0cc174accb
- 33813ebf161b64e3e0ccdc47eb43d1683d00c23b3abd01a11e0e794aa3e69c16
- 42f5df48a6fc614c871e58bb7dd13852b59eae553cad64f913789b382f2bbf8f
- 701531793ecd583e05cdbd853bec8c0ece4c106fc9a6658af2d1b2f6becb70ad
- 7724caac245c1e5af1662fc3a1261e02fe097a7a98c129986e6dad41606d0df1
- 84b45dad03eeb5be10b8313b25de1426b108064b12e2848eaa94cddd58bca297
- 9e10aadba51daa66b72ea442a97b31b12b4f718866328109d21d1c03b0e76780
- aaf994941e7230bbdf306d6deb2ac40bc4c04ff5a329d67acc6c816c419269fa
- ab3d693470e7cf8ff2a21338c0a20302465ca7e18c33fc8fe488b0abb8f201f0
- abee3860601d8a8f10fa2d0ef9e058c8c9b0b977a87e8c95fb66d3f630281c23
- d4fa6a239895a94f83740db0319601a14896a2b06fff912364f214b0832ee230
- f9ac395dbab71d37b0a22cbacba2613540b51a4be501632320e523531716a057