一项利用“TheMoon”恶意软件更新版本的多年活动一直通过名为“Faceless”的网络犯罪代理服务瞄准报废 (EoL) 小型企业路由器和物联网设备。
Lumen Technologies 的 Black Lotus 实验室团队在3 月 26 日的博客文章中表示,他们发现 2014 年首次出现的“TheMoon”恶意软件正在悄然运行,截至今年 1 月和 2 月,该恶意软件已增长到来自 88 个国家的 40,000 多个机器人。
Black Lotus Labs 于 2019 年首次描述了“TheMoon”恶意软件,并表示它已经进入了一个新阶段。在他们最近的帖子中,研究人员发现至少有一场由 Faceless 犯罪代理服务发起的活动,该活动于 3 月第一周开始,在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击。
研究人员表示,Faceless 用户数量以每周 7,000 名的速度增长,已成为寻求匿名的网络犯罪分子的理想选择。研究人员表示,他们的遥测发现这项服务已被SolarMarker和IcedID等僵尸网络运营商使用。
研究人员写道:“这并不是受感染设备首次加入代理服务,而且这是一种不断增长的趋势。” “我们怀疑,随着执法和情报组织对网络犯罪生态系统的日益关注,犯罪分子正在寻找新的方法来混淆他们的活动。”
Viakoo Labs 副总裁 John Gallagher 表示,物联网设备被设计为“一劳永逸”,因此受到威胁者的青睐。因此,即使它们不是 EoL,它们也可能不受管理且未更新。
“对于企业来说,这是一个比消费者更大的问题,”加拉格尔解释道。 “物联网设备的运营商通常是成本中心,并且有动力不更换设备,除非设备不再起作用。因此,企业为威胁行为者提供大量物联网设备,以利用 DDoS 和其他攻击媒介。”
结果:加拉格尔说,我们现在拥有庞大的受感染物联网设备僵尸网络大军,因为从来没有关注(或激励)根除机器人。他说,组织被告知要重点关注机器人缓解措施,但问题已经发展到我们需要重点关注消除设备中的恶意机器人的程度。
Bambenek Consulting 总裁 John Bambenek 补充道,随着业界不断扩大内置操作系统的设备类型,它并没有跟上从桌面和服务器计算中汲取的经验教训:即自动更新已成为常态。
Bambenek 表示:“组织使用设备的时间比制造商想要的时间长得多,从而加剧了这个问题。” “通过使用安全更新作为购买新产品的杠杆,最终结果是用于网络犯罪的受感染设备。犯罪分子有足够的时间保持耐心,他们已经获得了强劲的现金流,而且可感染的设备比他们有时间利用的还要多。”
Inversion6 首席信息安全官 Thomas Siu 表示,FBI 于 2024 年 2 月宣布阻止针对 Ubiquiti 路由器的 APT28 攻击,这与“TheMoon”恶意软件的案例研究类似。尽管 Ubiquiti EdgeRouter 产品在技术上尚未终止,但其易受攻击的状态使它们能够作为基于 Linux 的传感器被选为僵尸网络,从而允许它们收集用户凭据和代理网络流量以隐藏其命令和控制信号。
Siu 表示:“用户和小型企业需要评估其网络系统的强度,特别是要知道,如果他们的边缘路由器使用时间超过三年,他们面临这种程度的妥协的风险就会更高。”
发表评论
您还未登录,请先登录。
登录