88 ülkede binlerce eski küçük ofis ve ev ofisi (SOHO) yönlendiricileri ve IoT cihazlarını enfekte eden yeni bir "themoon" kötü amaçlı yazılım botnet tespit edildi.
Ay, kötü niyetli faaliyetlerini anonimleştirmek isteyen siber suçlular için trafiği yönlendirmek için enfekte olmuş cihazların bazılarını vekil olarak kullanan "meçhul" proxy hizmetiyle bağlantılıdır.
Mart 2024'ün başlarında başlayan en son Themoon kampanyasını izleyen Black Lotus Labs araştırmacıları, 6.000 ASUS yönlendiricisinin 72 saatin altında hedeflendiğini gözlemlediler.
Tehdit analistleri, IcedID ve Solarmarker gibi kötü amaçlı yazılım işlemlerinin şu anda çevrimiçi etkinliklerini gizlemek için Proxy BotNet'i kullandığını bildiriyor.
THEMOON, 2014 yılında araştırmacıların kötü amaçlı yazılımların Linksys cihazlarını enfekte etmek için güvenlik açıklarından yararlandığı konusunda uyardı.
Kötü amaçlı yazılımın son kampanyası haftada yaklaşık 7.000 cihazı bulaştı ve Black Lotus Labs öncelikle ASUS yönlendiricilerini hedeflediklerini söylüyor.
"Lumen'in küresel ağ görünürlüğü sayesinde Black Lotus Labs, Mart 2024'ün ilk haftasında başlayan bir kampanya da dahil olmak üzere, meçhul proxy hizmetinin mantıksal haritasını belirledi. Laboratuvar Araştırmacıları.
Araştırmacılar, ASUS yönlendiricilerini ihlal etmek için kullanılan tam yöntemi belirtmezler, ancak hedeflenen cihaz modellerinin ömür sonu olduğu göz önüne alındığında, saldırganların ürün yazılımındaki bilinen güvenlik açıklarından yararlanmaları muhtemeldir.
Saldırganlar ayrıca yönetici şifrelerini kaba kuvvete alabilir veya varsayılan ve zayıf kimlik bilgilerini test edebilir.
Kötü amaçlı yazılım bir cihaza erişim kazandıktan sonra, belirli kabuk ortamlarının varlığını kontrol eder ("/bin/bash," "/bin/kül" veya "/bin/sh"); Aksi takdirde, yürütmeyi durdurur.
Uyumlu bir kabuk algılanırsa, yükleyici şifresini çözer, bırakır ve ".nttpd" adlı bir yükü yürütür, bu da bir sürüm numarasına sahip bir PID dosyası oluşturur (şu anda 26).
Daha sonra, kötü amaçlı yazılım, belirli IP aralıklarından gelen trafiğe izin verirken, 8080 ve 80 bağlantı noktalarında gelen TCP trafiğini düşürmek için iptables kurallarını belirler. Bu taktik, tehlikeye atılan cihazı harici parazitten korur.
Kötü amaçlı yazılım, sanal alan ortamlarını algılamak ve İnternet bağlantısını doğrulamak için meşru NTP sunucularının bir listesine başvurmaya çalışır.
Son olarak, kötü amaçlı yazılım, bir dizi sabit kodlu IP adresinden geçerek komut ve kontrol (C2) sunucusuyla bağlanır ve C2 talimatlarla yanıt verir.
Bazı durumlarda, C2, kötü amaçlı yazılımlara, 80 ve 8080 bağlantı noktalarında savunmasız web sunucuları veya enfekte olmuş cihazdaki trafiği proxy trafiğini tarayan bir solucan modülü gibi ek bileşenler almasını bildirebilir.
Faceless, sadece kripto para birimlerinde ödeme yapan müşteriler için ağ trafiğini tehlikeye atan cihazlar aracılığıyla yönlendiren bir siber suç proxy hizmetidir. Hizmet, bir "bilginizi bildiğiniz" doğrulama işlemini kullanmaz, bu da onu kimseye sunar.
Altyapılarını araştırmacılar tarafından haritalandırmaktan korumak için, meçhul operatörler, enfekte olmuş her cihazın enfeksiyon sürdüğü sürece yalnızca bir sunucu ile iletişim kurmasını sağlar.
Black Lotus Labs, enfeksiyonların üçte birinin 50 günden fazla sürdüğünü,% 15'inin 48 saatin altında kaybolduğunu bildiriyor. Bu, ikincisinin daha iyi izlendiğini ve uzlaşmanın hızlı bir şekilde tespit edildiğini gösterir.
Ay ve meçhul arasındaki açık bağlantıya rağmen, iki operasyon ayrı siber suç ekosistemleri gibi görünmektedir, çünkü tüm kötü amaçlı yazılım enfeksiyonları meçhul proxy botnet'in bir parçası haline gelmez.
Bu botnetlere karşı savunmak için güçlü yönetici şifreleri kullanın ve cihazınızın ürün yazılımını bilinen kusurları ele alan en son sürüme yükseltin. Cihaz EOL'ye ulaşmışsa, aktif olarak desteklenen bir modelle değiştirin.
Yönlendiriciler ve IOT'lar üzerinde yaygın kötü amaçlı yazılım enfeksiyonu belirtileri arasında bağlantı problemleri, aşırı ısınma ve şüpheli ayar değişiklikleri bulunur.
Zeus, Icedid kötü amaçlı yazılımlar lideri suçlu, 40 yıl hapis cezasına çarptırıldı
Hayır, bir DDOS saldırısında 3 milyon elektrikli diş fırçası kullanılmadı
Purplefox kötü amaçlı yazılım Ukrayna'da binlerce bilgisayarı bulaştı
Google Play'deki Ücretsiz VPN Uygulamaları Android telefonları vekillere dönüştürdü
Hackerlar En Büyük Discord Bot Platformundan Kaynak Kodu
Kaynak: Bleeping Computer