网络安全公司 Black Lotus Labs 近日发布报告,近日追踪发现了名为“TheMoon”的恶意软件僵尸网络变种,已经感染了全球 88 个国家和地区的数千台 SOHO 路由器和物联网设备。
该公司研究人员表示,在 3 月初发现该恶意活动之后,追踪观测 72 小时内,发现有 6000 台华硕路由器成为攻击目标。
安全专家报告称在“TheMoon”活动中,黑客利用 IcedID 和 SolarMarker 等恶意软件,并通过代理僵尸网络来掩盖其在线活动。
该恶意软件的最新活动在一周内感染了近 7000 台设备,Black Lotus Labs 称它们的主要目标是华硕路由器。
Black Lotus Labs 的研究人员报告称通过 Lumen 的全球网络追踪,已经确定了 Faceless 代理服务的逻辑地图,本次活动始于 2024 年 3 月第一周,在不到 72 小时内针对 6000 多台华硕路由器发起攻击。
研究人员没有说明攻破华硕路由器的具体方法,攻击者很可能利用了固件中的已知漏洞。攻击者还可能暴力破解管理员密码,或测试默认凭据和弱凭据。
设备一旦感染恶意软件之后,会检查是否存在特定的 shell 环境("/bin/ bash"、"/bin/ ash" 或 "/bin/ sh")。
如果检测到兼容 shell,加载器就会解密、丢弃并执行名为“.nttpd”的有效载荷,该有效载荷会创建一个带有版本号(目前为 26)的 PID 文件。
接下来,恶意软件会设置 iptables 规则,阻止 8080 和 80 端口上的 TCP 流量,同时允许来自特定 IP 范围的流量。这种策略可确保被入侵设备不受外部干扰。
接下来,恶意软件会尝试联系合法的 NTP 服务器列表,以检测沙盒环境并验证互联网连接。
最后,恶意软件通过循环使用一组硬编码 IP 地址与命令和控制(C2)服务器连接,C2 则回复指令。
在某些情况下,C2 可能会指示恶意软件检索其他组件,如扫描 80 和 8080 端口易受攻击网络服务器的蠕虫模块,或在受感染设备上代理流量的 ".sox" 文件。
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
OPPO K12 近日现身 GeekBench 跑分库,型号为 PJR110,6.2.2 版本单核成绩为 1134 分,多核测试成绩为 2975 分。
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。