Black Lotus Labs обнаружила новый вариант вредоносного ПО TheMoon, нацеленный на офисы SOHO и IoT-устройства в 88 странах, которое уже заразило почти 7 000 маршрутизаторов ASUS.TheMoon связан с анонимным прокси-сервисом Faceless, который использует заражённые устройства для маршрутизации трафика киберпреступников, желающих скрыть свои действия. Вредоносные кампании IcedID и SolarMarker уже используют эту сеть для маскировки своей онлайн-активности, пишет Securitylab.
В ходе обнаруженной кампании было скомпрометировано почти 7 000 устройств за неделю, причём основной целью стали маршрутизаторы ASUS. Атакующие, скорее всего, использовали известные уязвимости в прошивке или методы брутфорса для получения доступа к устройствам.
После проникновения на устройство, вредоносное ПО устанавливает определённые правила для фильтрации трафика и пытается связаться с C2-сервером для получения дальнейших инструкций. В некоторых случаях сервер может загружать дополнительные компоненты для сканирования уязвимых серверов или для проксирования трафика.
Faceless представляет собой прокси-сервис для киберпреступников, который функционирует без процесса верификации клиентов и принимает оплату исключительно в криптовалюте. Чтобы защитить свою инфраструктуру, операторы Faceless ограничивают коммуникацию заражённых устройств с одним сервером на протяжении всего периода заражения.
Исследование Black Lotus Labs показывает, что около 30% заражений длится более 50 дней, а 15% обнаруживаются и устраняются менее чем за 48 часов.
Несмотря на явную связь между TheMoon и Faceless, две операции представляют собой отдельные экосистемы киберпреступности, поскольку не все заражения вредоносным ПО становятся частью ботнета Faceless.