TheMoon botnet napada Asus rutere

TheMoon botnet napada Asus rutere stoji u izvještaju kompanije Black Lotus Labs. Sigurnosni istraživači ove kompanije su primijetili kako nova varijanta TheMoon botnet inficira hiljade zastarelih rutera namijenjenih malim kancelarijama i kućnim korisnicima (eng. small office and home office – SOHO) i internet stvari (eng. Internet of ThingsIoT) uređaja u 88 zemalja.

TheMoon botnet

TheMoon botnet napada Asus rutere; Source: Bing Image Creator

THEMOON BOTNET

TheMoon botnet je aktivan od 2014. godine i cilja  na ranjivosti u SOHO ruterima u okviru širokopojasnih mreža. On koristi ciljane širokopojasne modeme ili rutere koje su razvile kompanije kao što su Linksys, ASUS, MikroTik, D-Link. Širi se poput crva i viđeno je da uključuje mnoge IoT eksploatacije istovremeno u pokušaju da poveća svoj otisak.

Sada u najnovijem napadu, sigurnosni istraživači su primijetili kampanju koja je počela u martu 2024. godine u kojoj je tokom 72 časa ugroženo oko 6.000 Asus rutera. Ovi ruteri su uređaji koji su ostali bez podrške proizvođača zbog starosti uređaja, što navodi na zaključak da su zlonamjerni akteri najvjerovatnije zloupotrebili poznatu ranjivost ovih uređaja kako bi primijenili zlonamjerni softver.

Iako Asus ruteri čine veći dio inficiranih uređaja, oni nisu jedini. Prema tvrdnjama sigurnosnih istraživača kompanije Black Lotus Labs ovaj botnet doda sebi oko 7.000 novih uređaja svake sedmice. Inficirani uređaji su iz cijelog svijeta, što navodi na zaključak da napadači ne vode računa o određenom geografskom području. Pored iskorištavanja ranjivosti, ovaj TheMoon botnet koristi  napada grubom silom (eng. brute force attack), i popunjavanje akreditiva (eng. credential stuffing).

 

Faceless proxy

Većina usluga anonimizacije se koristi dobronamjerno, za zaobilaženja cenzure ili anonimizaciju identiteta korisnika. Međutim, postoje usluge koje posreduju internet saobraćaj za one sa lošim namjerama. Godinama unazad, proxy usluga pod nazivom Faceless je prodavala uslugu anonimnosti zlonamjernim akterima za manje od jednog dolara omogućavajući im da usmjere svoj saobraćaj kroz desetine hiljada kompromitovanih sistema koji se oglašavaju na usluzi.

Faceless se smatra nasljednikom usluge koja pruža anonimnost iSocks i veoma popularna usluga među zlonamjernim akterima zbog anonimizacije njihovih aktivnosti. Ova proxy usluga je izgradila reputaciju jednog od najpouzdanijih proxy servisa zasnovanih na zlonamjernom softveru, uglavnom zbog toga što njena proxy mreža tradicionalno uključuje veliki broj kompromitovanih uređaja interneta stvari – kao što su serveri za dijeljenje medija – koji su rijetko uključeni u zlonamjerni softver ili spam blok liste.

Precijenjeno je da Faceless infrastruktura koriste operateri zlonamjernog softvera kao što su SolarMarker i IcedID da se povežu sa svojim serverima za komandu i kontrolu (C2) kako bi prikrili svoje IP adrese. Sada su sigurnosni istraživači pronašli snažnu statističku korelaciju između TheMoon botnet i Faceless proxy usluge, što dovodi do zaključka da je TheMoon primarni ili možda čak jedini dobavljač uređaja u botnet mrežu ove proxy usluge. Međutim, uprkos ovoj povezanosti, čini se da su ove dvije operacije odvojeni ekosistemi zlonamjernih aktera, jer ne postaju svi inficirani uređaji dio Faceless proxy usluge.

 

FUNKCIONISANJE

 Napad počinje ubacivanjem zlonamjernog programa za učitavanje koji je odgovoran za preuzimanje izvršne datoteke ELF sa C2 servera. Pored toga, zlonamjerni softver konfiguriše iptables pravila da propusti dolazni TCP saobraćaj na portovima 8080 i 80 i dozvoli saobraćaj iz tri različita IP opsega. Takođe pokušava da kontaktira NTP server sa liste legitimnih NTP servera u vjerovatnom pokušaju da utvrdi da li zaraženi uređaj ima internet konekciju i da se ne pokreće u izolovanom okruženju (eng. sandbox).

Na kraju, zlonamjerni softver se povezuje sa C2 serverom, tako što prolazi kroz skup IP adresa upisanih u kôd, a C2 server odgovara sa uputstvima. Sada zlonamjerni softver može preuzeti dodatni korisni teret (crva (eng. worm) ili proxy) na osnovu dobijenih uputstava. Modul crva se širi iskorišćavanjem ranjivih internet servera i preuzimanjem dodatnih modula i “.sok” datoteke. Nakon izvršenja, provjerava da li postoje ažuriranja, uspostavlja vezu sa Faceless C2 serverom i pridružuje se proxy mreži uređaja.

 

ZAKLJUČAK

Ovakva globalna mreža kompromitovanih uređaja daje mogućnost zlonamjernim akterima da zaobiđu neke standardne alatke za detekciju zasnovane na mreži – posebno one zasnovane na geolokaciji, blokiranju zasnovanom na autonomnom sistemu ili one koje se fokusiraju na TOR blokiranje. Ovo nije prvi slučaj da se inficirani uređaji dodaju u mrežu proxy uređaja i kako se čini to postaje trend.

Zlonamjerni akteri stalno traže nove metode da sakriju svoje zlonamjerne aktivnosti od sigurnosnih timova, sigurnosnih istraživača i agencija za sprovođenje zakona. Dok jedni koriste VPN usluge gdje je zabilježen slučaj identifikacije zlonamjernog aktera, drugi koriste TOR mrežu gdje postoji opasnost da se izvrši identifikacija korisnika ako se kontroliše dovoljno čvorova iz kojih se može dobiti dovoljno podataka za identifikaciju. Čini se da ovi događaji otkrivanja zlonamjernih aktera pomjeraju fokus ka rezidentnim proxy uslugama kao prvom izboru zlonamjernih aktera koji omogućava pružanje anonimnosti za vršenje zlonamjernih aktivnosti, što im omogućava Faceless proxy mreža uređaja.

 

ZAŠTITA

 Kada se radi o zaštiti od TheMoon botnet napada i Faceless proxy mreže uređaja, korisnicima se preporučuju sljedeći koraci:

  • Primjenjivati jake akreditive na uređajima i pratiti sumnjive pokušaje prijavljivanja čak i kada potiču sa stambenih IP adresa koje zaobilaze geolociranje i ASN zasnovano blokiranje,
  • Potrebno je zaštiti sredstva baziran u oblaku od bot komunikacije koja pokušavaju da izvrši napade prskanja lozinki (eng. password spraying) i potrebno je započeti blokiranje indikatora kompromitovanja (eng. indicators of compromise – IoC) pomoću zaštitnih zidova internet aplikacija,
  • Korisnici bi trebalo da slede najbolje prakse redovnog ponovnog pokretanja rutera i instaliranja bezbjednosnih ažuriranja i ispravki,
  • Potrebno je obezbijediti da uređaji ne koriste uobičajene podrazumijevane lozinke, kao i da je upravljački pristup pravilno obezbijeđen i da nije dostupan putem interneta,
  • Preporuka je da se zamjene uređaji kada ostanu bez podrške proizvođača zbog starosti uređaja i kada nisu više podržani sa ažuriranjima.

Indikatore kompromisa – IoC možete pronaći ovdje.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.