网络犯罪目标:过时的小企业路由器和物联网设备
关键要点
“TheMoon”恶意软件正在利用名为“Faceless”的网络犯罪代理服务,针对小企业的过时路由器和物联网设备。该恶意软件自2014年首次出现以来,已发展到超过40000个来自88个国家的僵尸网络。Faceless每周新增用户7000名,是网络犯罪分子寻求匿名的理想选择。企业中的物联网设备更容易受到攻击,导致庞大的机器人网络。近年来,网络犯罪活动频繁,尤其是在小企业和物联网IoT设备中。“TheMoon”恶意软件的新版本被认为是一个多年的攻击运动,最近通过“Faceless”这种网络犯罪代理服务,专门针对终止生命周期EoL的小型商务路由器和IoT设备。
白鲸加速器1.47Lumen Technologies旗下的Black Lotus Lab团队在 2023年3月26日的一篇博文中指出,2014年首次出现的“TheMoon”恶意软件在悄然无声中发展壮大,到今年一月和二月时已拥有来自88个国家的超过40000个僵尸网络。
“TheMoon”恶意软件的新阶段
Black Lotus Labs在2019年首次描述了“TheMoon”恶意软件,并表示其进入了一个新阶段。在最近的研究中,研究人员发现“Faceless”网络犯罪代理服务的活动至少在三月的第一周开始,短短72小时内便成功攻击了超过6000台华硕路由器。
研究人员指出,Faceless每周以7000名用户的速度增长,成为网络犯罪分子寻求匿名的理想选择。其数据监测发现,这项服务已被多种僵尸网络的操作者使用,例如 SolarMarker 和 IcedID。
“这并不是第一次遭到感染的设备被卷入代理服务,这已成为一个日益增长的趋势,” 研究人员写道。“我们怀疑,随着执法机构和情报组织对网络犯罪生态系统的关注度提高,罪犯们正在寻找新方法来掩饰他们的活动。”
企业面临的更大问题
Viakoo Labs副总裁John Gallagher表示,IoT设备通常设计为“设置并遗忘”,这使得它们受到攻击者的青睐。因此,即使这些设备没有达到EoL,实际上它们往往未管理且未更新。
“这对于企业来说是一个更大的问题,而不是消费者,” Gallagher解释说。“现今的IoT设备运营者往往是成本中心,除非设备不再可用,否则没有激励去替换设备。因此,企业提供了大量的IoT设备,使得威胁行为者可以利用它们进行DDoS等攻击。”
巨大的僵尸网络
Gallagher指出,由于过去从未关注或缺乏激励去进行消灭僵尸网络,我们现在拥有庞大的感染IoT设备僵尸网络。他表示,组织被告知应该专注于僵尸网络的减轻,但问题已经严重到需要关注清除恶意僵尸的程度。
Bambenek Consulting的总裁John Bambenek补充道,随着行业扩展各类装置的操作系统,未能从桌面和服务器计算中吸取教训,尤其是自动更新已成为常态。
“这一问题因组织使用设备的时间超过制造商的预期而加剧,”Bambenek说。“将安全更新作为购买新产品的杠杆,导致设备感染后用于网络犯罪。罪犯有足够的时间耐心等待,他们已经拥有了很强的现金流,而感染设备的数量远超他们的利用时间。”
评估网络安全
Inversion6的首席信息安全官Thomas Siu指出,2024年2月FBI宣布打击APT28组织对Ubiquiti路由器的攻击,展示了与“TheMoon”恶意软件类似的案例研究。尽管Ubiquiti EdgeRouter产品在技术上并未达到EoL,但其脆弱状态使得它们被利用为基于Linux的传感器,能够收集用户凭
