Было замечено, что ботнет, ранее считавшийся инертным, порабощает устаревшие маршрутизаторы для дома / малого офиса (SOHO) и устройства Интернета вещей (IoT) для подпитки криминального прокси-сервиса под названием Faceless.
"TheMoon, который возник в 2014 году, работал спокойно, в то время как в январе и феврале 2024 года количество ботов выросло до более чем 40 000 из 88 стран", - сказали в Black Lotus Labs в Lumen Technologies.
Faceless, подробно изложенный журналистом по безопасности Брайаном Кребсом в апреле 2023 года, представляет собой вредоносный прокси-сервис, предлагающий свои услуги анонимности другим субъектам угрозы за незначительную плату, которая стоит менее доллара в день.
При этом он позволяет клиентам направлять свой вредоносный трафик через десятки тысяч скомпрометированных систем, рекламируемых на сервисе, эффективно скрывая их истинное происхождение.
Было оценено, что инфраструктура, поддерживаемая Faceless, используется операторами вредоносных программ, такими как SolarMarker и IcedID, для подключения к своим серверам командования и контроля (C2) для обфускации своих IP-адресов.
При этом большинство ботов используются для подбора паролей и / или утечки данных, в первую очередь нацеленных на финансовый сектор, при этом более 80% зараженных хостов расположены в США.
Lumen заявила, что впервые обнаружила вредоносную активность в конце 2023 года, целью которой было взломать маршрутизаторы EoL SOHO и устройства интернета вещей, развернуть обновленную версию TheMoon и, в конечном итоге, зарегистрировать ботнет в Faceless.
Атаки влекут за собой удаление загрузчика, который отвечает за получение исполняемого файла ELF с сервера C2. Сюда входит модуль-червь, который распространяется на другие уязвимые серверы, и другой файл под названием ".sox", который используется для передачи трафика от бота к Интернету от имени пользователя.
Кроме того, вредоносная программа настраивает правила iptables таким образом, чтобы пропускать входящий TCP-трафик через порты 8080 и 80 и разрешать трафик из трех разных диапазонов IP. Он также пытается связаться с NTP-сервером из списка законных NTP-серверов, вероятно, пытаясь определить, есть ли у зараженного устройства подключение к Интернету и не запускается ли оно в изолированной среде.
Нацеливание устройств EoL на создание ботнета неслучайно, поскольку они больше не поддерживаются производителем и со временем становятся уязвимыми для уязвимостей в системе безопасности. Также возможно, что на устройства проникают с помощью атак методом грубой силы.
Дополнительный анализ прокси-сети показал, что более 30% заражений длились более 50 дней, в то время как около 15% устройств были частью сети 48 часов или меньше.
"Faceless стал грозным прокси-сервисом, который восстал из пепла службы анонимности "iSocks" и стал неотъемлемым инструментом для киберпреступников в сокрытии их деятельности", - заявили в компании. "TheMoon - основной, если не единственный, поставщик ботов для сервиса Faceless proxy".
"TheMoon, который возник в 2014 году, работал спокойно, в то время как в январе и феврале 2024 года количество ботов выросло до более чем 40 000 из 88 стран", - сказали в Black Lotus Labs в Lumen Technologies.
Faceless, подробно изложенный журналистом по безопасности Брайаном Кребсом в апреле 2023 года, представляет собой вредоносный прокси-сервис, предлагающий свои услуги анонимности другим субъектам угрозы за незначительную плату, которая стоит менее доллара в день.
При этом он позволяет клиентам направлять свой вредоносный трафик через десятки тысяч скомпрометированных систем, рекламируемых на сервисе, эффективно скрывая их истинное происхождение.
Было оценено, что инфраструктура, поддерживаемая Faceless, используется операторами вредоносных программ, такими как SolarMarker и IcedID, для подключения к своим серверам командования и контроля (C2) для обфускации своих IP-адресов.
При этом большинство ботов используются для подбора паролей и / или утечки данных, в первую очередь нацеленных на финансовый сектор, при этом более 80% зараженных хостов расположены в США.
Lumen заявила, что впервые обнаружила вредоносную активность в конце 2023 года, целью которой было взломать маршрутизаторы EoL SOHO и устройства интернета вещей, развернуть обновленную версию TheMoon и, в конечном итоге, зарегистрировать ботнет в Faceless.
Атаки влекут за собой удаление загрузчика, который отвечает за получение исполняемого файла ELF с сервера C2. Сюда входит модуль-червь, который распространяется на другие уязвимые серверы, и другой файл под названием ".sox", который используется для передачи трафика от бота к Интернету от имени пользователя.
Кроме того, вредоносная программа настраивает правила iptables таким образом, чтобы пропускать входящий TCP-трафик через порты 8080 и 80 и разрешать трафик из трех разных диапазонов IP. Он также пытается связаться с NTP-сервером из списка законных NTP-серверов, вероятно, пытаясь определить, есть ли у зараженного устройства подключение к Интернету и не запускается ли оно в изолированной среде.
Нацеливание устройств EoL на создание ботнета неслучайно, поскольку они больше не поддерживаются производителем и со временем становятся уязвимыми для уязвимостей в системе безопасности. Также возможно, что на устройства проникают с помощью атак методом грубой силы.
Дополнительный анализ прокси-сети показал, что более 30% заражений длились более 50 дней, в то время как около 15% устройств были частью сети 48 часов или меньше.
"Faceless стал грозным прокси-сервисом, который восстал из пепла службы анонимности "iSocks" и стал неотъемлемым инструментом для киберпреступников в сокрытии их деятельности", - заявили в компании. "TheMoon - основной, если не единственный, поставщик ботов для сервиса Faceless proxy".
