Жертвы TheMoon: почти 7000 роутеров ASUS скрывают вредоносную деятельность хакеров

Black Lotus Labs обнаружила новый вариант вредоносного ПО TheMoon, нацеленный на офисы SOHO и IoT-устройства в 88 странах, которое уже заразило почти 7 000 маршрутизаторов ASUS.

TheMoon связан с анонимным прокси-сервисом Faceless, который использует заражённые устройства для маршрутизации трафика киберпреступников, желающих скрыть свои действия. Вредоносные кампании IcedID и SolarMarker уже используют эту сеть для маскировки своей онлайн-активности.

В ходе обнаруженной кампании было скомпрометировано почти 7 000 устройств за неделю, причём основной целью стали маршрутизаторы ASUS. Атакующие, скорее всего, использовали известные уязвимости в прошивке или методы брутфорса для получения доступа к устройствам.

После проникновения на устройство, вредоносное ПО устанавливает определённые правила для фильтрации трафика и пытается связаться с C2-сервером для получения дальнейших инструкций. В некоторых случаях сервер может загружать дополнительные компоненты для сканирования уязвимых серверов или для проксирования трафика.

Faceless представляет собой прокси-сервис для киберпреступников, который функционирует без процесса верификации клиентов и принимает оплату исключительно в криптовалюте. Чтобы защитить свою инфраструктуру, операторы Faceless ограничивают коммуникацию заражённых устройств с одним сервером на протяжении всего периода заражения.

Схема работы прокси-сервиса Faceless

Исследование Black Lotus Labs показывает, что около 30% заражений длится более 50 дней, а 15% обнаруживаются и устраняются менее чем за 48 часов.

Время жизни зараженных устройств

Несмотря на явную связь между TheMoon и Faceless, две операции представляют собой отдельные экосистемы киберпреступности, поскольку не все заражения вредоносным ПО становятся частью ботнета Faceless.

Для защиты от подобных угроз рекомендуется использовать сложные пароли и обновлять прошивку устройств до последней версии, устраняющей известные недостатки. Если устройство устарело и больше не поддерживается производителем, его следует заменить на новую модель с активной поддержкой. Как правило, признаками заражения устройств являются проблемы с подключением, перегрев и подозрительные изменения настроек.