VNR Content
Pearl
Các nhà nghiên cứu tại Black Lotus Labs đã phát hiện 1 chiến dịch độc hại mới sử dụng phiên bản cập nhật của "TheMoon", một họ malware được biết đến lần đầu tiên cách đây 10 năm. Biến thể mới nhất của TheMoon dường như được thiết kế để xâm nhập vào thiết bị định tuyến (router) gia đình và thiết bị IoT không an toàn. Sau đó, chúng bị khai thác để định tuyến lưu lượng truy cập thông qua một dịch vụ proxy "thương mại" có tên là Faceless.
Botnet TheMoon đã hoạt động "thầm lặng" đồng thời xâm nhập hơn 40.000 thiết bị từ 88 quốc gia khác nhau trong hai tháng đầu năm 2024, các nhà phân tích của Black Lotus giải thích. Một chiến dịch mới bắt đầu vào tuần đầu tiên của tháng 3 và tập trung vào xâm nhập router Asus. Trong vòng chưa đầy 72 giờ, phần mềm độc hại đã lây nhiễm hơn 6.000 thiết bị mạng.
Black Lotus không cung cấp chi tiết về các phương pháp mà phần mềm độc hại sử dụng để lây nhiễm thiết bị định tuyến. Tội phạm mạng có thể đang khai thác các lỗ hổng đã biết để biến các thiết bị sắp bị khai tử thành các bot độc hại. Sau khi một thiết bị định tuyến bị xâm nhập, TheMoon sẽ tìm kiếm các môi trường shell cụ thể để thực thi tải trọng (payload) độc hại chính của nó.
Payload được thiết kế để thường xuyên bỏ lưu lượng TCP đến trên các cổng 8080 và 80, đồng thời cho phép các gói từ các dải IP cụ thể. Sau khi kiểm tra tính năng giả lập sandbox (thông qua lưu lượng NTP) và xác minh kết nối internet, TheMoon cố gắng kết nối với trung tâm chỉ huy & điều khiển và yêu cầu hướng dẫn từ tội phạm mạng.
Sau đó, phần mềm độc hại có thể tải xuống các thành phần độc hại bổ sung, bao gồm một mô-đun giống như sâu có khả năng quét các máy chủ HTTP dễ bị tấn công, cũng như tải xuống các tệp .sox cho phép thiết bị bị xâm nhập hoạt động như một proxy. Hầu hết các thiết bị định tuyến Asus bị nhiễm biến thể TheMoon mới nhất đã được ánh xạ thành bot thuộc Faceless, một dịch vụ proxy đã biết được sử dụng bởi các hoạt động phần mềm độc hại như IcedID và SolarMarker.
Tội phạm mạng có thể sử dụng Faceless để che giấu lưu lượng truy cập độc hại của chúng, thanh toán bằng tiền điện tử cho dịch vụ. Các nhà nghiên cứu của Black Lotus cho biết một phần ba số ca nhiễm trùng kéo dài hơn 50 ngày, trong khi 15% số ca nhiễm trùng ngoại tuyến trong vài ngày. TheMoon và Faceless dường như là hai hoạt động tội phạm hoàn toàn khác nhau, mặc dù giờ đây họ có chung lợi ích là biến các lỗ hổng bảo mật thành cơ hội kinh doanh.
Black Lotus cho biết người dùng có thể phòng thủ trước các mối đe dọa IoT bằng cách sử dụng mật khẩu mạnh và nâng cấp firmware của thiết bị mạng lên bản mới nhất hiện có. Tuy nhiên, các thiết bị định tuyến sắp bị khai tử (end-of-life) như các thiết bị Asus mà The Moon nhắm đến nên được thay thế bằng các model mới hơn.
>>> VIRUS LOCKBIT 3.0 LỢI DỤNG TEAMVIEWER ĐỂ MÃ HÓA DỮ LIỆU
Botnet TheMoon đã hoạt động "thầm lặng" đồng thời xâm nhập hơn 40.000 thiết bị từ 88 quốc gia khác nhau trong hai tháng đầu năm 2024, các nhà phân tích của Black Lotus giải thích. Một chiến dịch mới bắt đầu vào tuần đầu tiên của tháng 3 và tập trung vào xâm nhập router Asus. Trong vòng chưa đầy 72 giờ, phần mềm độc hại đã lây nhiễm hơn 6.000 thiết bị mạng.
Black Lotus không cung cấp chi tiết về các phương pháp mà phần mềm độc hại sử dụng để lây nhiễm thiết bị định tuyến. Tội phạm mạng có thể đang khai thác các lỗ hổng đã biết để biến các thiết bị sắp bị khai tử thành các bot độc hại. Sau khi một thiết bị định tuyến bị xâm nhập, TheMoon sẽ tìm kiếm các môi trường shell cụ thể để thực thi tải trọng (payload) độc hại chính của nó.
Payload được thiết kế để thường xuyên bỏ lưu lượng TCP đến trên các cổng 8080 và 80, đồng thời cho phép các gói từ các dải IP cụ thể. Sau khi kiểm tra tính năng giả lập sandbox (thông qua lưu lượng NTP) và xác minh kết nối internet, TheMoon cố gắng kết nối với trung tâm chỉ huy & điều khiển và yêu cầu hướng dẫn từ tội phạm mạng.
Tội phạm mạng có thể sử dụng Faceless để che giấu lưu lượng truy cập độc hại của chúng, thanh toán bằng tiền điện tử cho dịch vụ. Các nhà nghiên cứu của Black Lotus cho biết một phần ba số ca nhiễm trùng kéo dài hơn 50 ngày, trong khi 15% số ca nhiễm trùng ngoại tuyến trong vài ngày. TheMoon và Faceless dường như là hai hoạt động tội phạm hoàn toàn khác nhau, mặc dù giờ đây họ có chung lợi ích là biến các lỗ hổng bảo mật thành cơ hội kinh doanh.
Black Lotus cho biết người dùng có thể phòng thủ trước các mối đe dọa IoT bằng cách sử dụng mật khẩu mạnh và nâng cấp firmware của thiết bị mạng lên bản mới nhất hiện có. Tuy nhiên, các thiết bị định tuyến sắp bị khai tử (end-of-life) như các thiết bị Asus mà The Moon nhắm đến nên được thay thế bằng các model mới hơn.
>>> VIRUS LOCKBIT 3.0 LỢI DỤNG TEAMVIEWER ĐỂ MÃ HÓA DỮ LIỆU
