【快狠準】變種TheMoon瘋狂攻擊Asus路由器 3日內成功感染6000部裝置

    變種殭屍網絡軟件 TheMoon 在過去一個月非常進擊,安全專家發現黑客已利用 TheMoon 入侵 88 個國家的小型辦公室及家用路由器,3 日內成功將超過 6,000 部裝置收編旗下,當中更有絕大部分屬於 Asus 路由器。被感染的裝置,會用來隱藏犯罪分子的活動,如果不幸成為其中一員,隨時會在執法部門追蹤罪犯行蹤期間,無辜成為被調查的對象。

    眾所周知,黑客不會放過任何機會建立或壯大殭屍網絡大軍的規模,因為殭屍網絡的用途廣泛,當中最多黑客會應用於 DDoS 攻擊,而控制的兵力越大,可製造的洪流亦越強勁及難以阻擋。

    不過,Black Lotus Labs 安全研究員在報告中提及由 Faceless 黑客集團開發的變種 TheMoon 惡意軟件,其收集殭屍大軍的目的卻是用於提供匿名上網服務,據研究報告指出,他們的客戶包括 IcedID 和 SolarMarker 等黑客集團。

    TheMoon 透過為客戶將上網活動多重引流至殭屍電腦,令執法部門難以追蹤網絡犯罪分子的身分及犯罪行為,由於黑客不會要求驗證客戶身分,任何人都可以付費使用,因此頗受網絡犯罪分子支持。

    研究員解釋,第一代 TheMoon 早在 10 年前已出現,當年 Faceless 黑客主要針對 Linksys 生產的路由器漏洞發動發動,同樣在感染這些裝置後,讓它們變成替黑客隱藏 IP 的跳轉工具。

    不過,由今年 3 月開始,研究員發現變種 TheMoon 後便一直密切監控對方的活動,結果顯示,TheMoon 曾在短短 72 小時內,成功感染約 6000 部 Asus 路由器,有理由相信 Faceless 黑客已發現 Asus 路由器存在的漏洞。

    雖然研究員未能完全掌握變種 TheMoon 的入侵方式,但從觀察到的 Asus 裝置事件可見,TheMoon 主要是利用 Asus 路由器韌體的漏洞,及使用暴力破解方式入侵,然後會檢查裝置的所容度,如發現具有特定的 Shell 環境才會進一步執行餘下程序,包括從伺服器下載其他惡意負載、修改防火牆規則容許特定 IP 的連線等。為了減少被偵測的機會,每部受感染的裝置只會與一個惡意伺服器連線。

    要減少受感染風險,研究員認為設定強密碼及保持安全更新固然是關鍵措施,但另一方面亦須留意裝置是否仍繼續得到生產商的支援,如裝置已因推出年代太久已下架,意味將不會獲得生產商的支援,這時便應考慮更新新的型號。

    資料來源:https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/

    唔想成為下一個騙案受害人?

    網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/
    #ASUS #CyberSecurity #TheMoon #網絡安全

    相關文章