3 月 27 日消息，網絡安全公司 Black Lotus Labs 近日發布報告，近日追蹤發現了名為“TheMoon”的惡意軟件僵尸網絡變種，已經感染了全球 88 個國家和地區的數千臺 SOHO 路由器和物聯網設備。

該公司研究人員表示，在 3 月初發現該惡意活動之后，追蹤觀測 72 小時內，發現有 6000 臺華碩路由器成為攻擊目標。

安全專家報告稱在“TheMoon”活動中，黑客利用 IcedID 和 SolarMarker 等惡意軟件，并通過代理僵尸網絡來掩蓋其在線活動。

該惡意軟件的最新活動在一周內感染了近 7000 臺設備，Black Lotus Labs 稱它們的主要目標是華碩路由器。

Black Lotus Labs 的研究人員報告稱通過 Lumen 的全球網絡追蹤，已經確定了 Faceless 代理服務的邏輯地圖，本次活動始于 2024 年 3 月第一周，在不到 72 小時內針對 6000 多臺華碩路由器發起攻擊。

研究人員沒有說明攻破華碩路由器的具體方法，攻擊者很可能利用了固件中的已知漏洞。攻擊者還可能暴力破解管理員密碼，或測試默認憑據和弱憑據。

設備一旦感染惡意軟件之后，會檢查是否存在特定的 shell 環境（"/bin/ bash"、"/bin/ ash" 或 "/bin/ sh"）。

如果檢測到兼容 shell，加載器就會解密、丟棄并執行名為“.nttpd”的有效載荷，該有效載荷會創建一個帶有版本號（目前為 26）的 PID 文件。

接下來，惡意軟件會設置 iptables 規則，阻止 8080 和 80 端口上的 TCP 流量，同時允許來自特定 IP 范圍的流量。這種策略可確保被入侵設備不受外部干擾。

接下來，惡意軟件會嘗試聯系合法的 NTP 服務器列表，以檢測沙盒環境并驗證互聯網連接。

最后，惡意軟件通過循環使用一組硬編碼 IP 地址與命令和控制（C2）服務器連接，C2 則回復指令。

在某些情況下，C2 可能會指示惡意軟件檢索其他組件，如掃描 80 和 8080 端口易受攻擊網絡服務器的蠕蟲模塊，或在受感染設備上代理流量的 ".sox" 文件。