很多朋友不知道【TheMoon 恶意软件变种被发现，专家追踪 72 小时发现 6000 台华硕路由器被攻击】，今天小绿就为大家解答一下。



接下来，恶意软件会尝试联系合法的 NTP 服务器列表，以检测沙盒环境并验证互联网连接。

• 该恶意软件的最新活动在一周内感染了近 7000 台设备，Black Lotus Labs 称它们的主要目标是华硕路由器。该公司研究人员表示，在 3 月初发现该恶意活动之后，追踪观测 72 小时内，发现有 6000 台华硕路由器成为攻击目标。如果检测到兼容 shell，加载器就会解密、丢弃并执行名为“.nttpd”的有效载荷，该有效载荷会创建一个带有版本号（目前为 26）的 PID 文件。

在某些情况下，C2 可能会指示恶意软件检索其他组件，如扫描 80 和 8080 端口易受攻击网络服务器的蠕虫模块，或在受感染设备上代理流量的 ".sox" 文件。 3 月 27 日消息，网络安全公司 Black Lotus Labs 近日发布报告，近日追踪发现了名为“TheMoon”的恶意软件僵尸网络变种，已经感染了全球 88 个国家和地区的数千台 SOHO 路由器和物联网设备。接下来，恶意软件会设置 iptables 规则，阻止 8080 和 80 端口上的 TCP 流量，同时允许来自特定 IP 范围的流量。这种策略可确保被入侵设备不受外部干扰。附上参考地址 The Darkside of TheMoon设备一旦感染恶意软件之后，会检查是否存在特定的 shell 环境（"/bin/ bash"、"/bin/ ash" 或 "/bin/ sh"）。广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，所有文章均包含本声明。Black Lotus Labs 的研究人员报告称通过 Lumen 的全球网络追踪，已经确定了 Faceless 代理服务的逻辑地图，本次活动始于 2024 年 3 月第一周，在不到 72 小时内针对 6000 多台华硕路由器发起攻击。安全专家报告称在“TheMoon”活动中，黑客利用 IcedID 和 SolarMarker 等恶意软件，并通过代理僵尸网络来掩盖其在线活动。最后，恶意软件通过循环使用一组硬编码 IP 地址与命令和控制（C2）服务器连接，C2 则回复指令。研究人员没有说明攻破华硕路由器的具体方法，攻击者很可能利用了固件中的已知漏洞。攻击者还可能暴力破解管理员密码，或测试默认凭据和弱凭据。

以上问题已经回答了。如果你想了解更多，请关注网站 (http://www.techxue.com/)