Νέα παραλλαγή του κακόβουλου λογισμικού TheMoon στοχεύει χιλιάδες δρομολογητές ASUS σε παγκόσμια απειλή στον κυβερνοχώρο

Μια πρόσφατη ανακάλυψη από ειδικούς σε θέματα κυβερνοασφάλειας αποκάλυψε μια ανησυχητική εξέλιξη στο πεδίο των απειλών στον κυβερνοχώρο: μια νέα παραλλαγή του κακόβουλου λογισμικού "TheMoon" εντοπίστηκε να μολύνει χιλιάδες παλιούς δρομολογητές μικρών γραφείων και οικιακών γραφείων (SOHO) και συσκευές IoT σε 88 χώρες. Το κακόβουλο λογισμικό, γνωστό για τη σύνδεσή του με την υπηρεσία μεσολάβησης "Faceless", έχει προκαλέσει συναγερμό στους ερευνητές ασφαλείας λόγω της δυνατότητάς του να διευκολύνει κακόβουλες δραστηριότητες, ενώ παράλληλα να ανωνυμοποιεί τους εγκληματίες του κυβερνοχώρου.

Οι ερευνητές της Black Lotus Labs παρακολουθούν στενά την τελευταία εκστρατεία που ξεκίνησε από το TheMoon, η οποία ξεκίνησε στις αρχές Μαρτίου 2024. Μέσα σε διάστημα μόλις 72 ωρών, στοχοποιήθηκαν περίπου 6.000 δρομολογητές ASUS, αναδεικνύοντας τον ταχύτατο ρυθμό με τον οποίο εξαπλώνεται η απειλή. Οι δυνατότητες του κακόβουλου λογισμικού έχουν αξιοποιηθεί από άλλες κακόβουλες επιχειρήσεις, όπως οι IcedID και SolarMarker, χρησιμοποιώντας το botnet μεσολάβησης για να αποκρύψουν τις παράνομες διαδικτυακές τους προσπάθειες.

Ο τρόπος λειτουργίας αυτής της παραλλαγής κακόβουλου λογισμικού περιλαμβάνει τη στόχευση δρομολογητών ASUS που βρίσκονται στο τέλος του κύκλου ζωής τους (EOL), αξιοποιώντας γνωστές ευπάθειες στο firmware ή χρησιμοποιώντας τεχνικές brute-force για την απόκτηση μη εξουσιοδοτημένης πρόσβασης. Μόλις διεισδύσει, το κακόβουλο λογισμικό εκτελεί μια σειρά ενεργειών, συμπεριλαμβανομένης της εγκατάστασης κανόνων iptables και της δημιουργίας συνδέσεων με νόμιμους διακομιστές NTP για την επαλήθευση της συνδεσιμότητας στο διαδίκτυο. Επιπλέον, επικοινωνεί με έναν διακομιστή εντολών και ελέγχου (C2), λαμβάνοντας οδηγίες που μπορεί να περιλαμβάνουν την ανάκτηση πρόσθετων εξαρτημάτων για την ενίσχυση της λειτουργικότητάς του.

Η υπηρεσία μεσολάβησης Faceless, που συνδέεται στενά με το κακόβουλο λογισμικό TheMoon, λειτουργεί ως υπηρεσία μεσολάβησης κυβερνοεγκλήματος, επιτρέποντας τη δρομολόγηση της δικτυακής κίνησης μέσω παραβιασμένων συσκευών για πελάτες που πληρώνουν κρυπτονομίσματα. Παρά τις προσπάθειες αποφυγής της ανίχνευσης, η Black Lotus Labs έριξε φως στην επιχείρηση, τονίζοντας τη σημασία των ισχυρών μέτρων ασφαλείας, συμπεριλαμβανομένης της χρήσης ισχυρών κωδικών πρόσβασης διαχειριστή και τακτικών ενημερώσεων υλικολογισμικού, για τον μετριασμό του κινδύνου που ενέχουν τέτοιες εξελιγμένες απειλές στον κυβερνοχώρο. Η επαγρύπνηση είναι το κλειδί για την προστασία από τη διείσδυση των δρομολογητών και των συσκευών IoT, με την έγκαιρη ανίχνευση να είναι ζωτικής σημασίας για την αποτροπή πιθανών ζημιών και παραβιάσεων δεδομένων.