Ботнет TheMoon заразил 6 тыс. роутеров ASUS за 72 часа

Екатерина Быстрова 27 Марта 2024 - 10:10

Малый и средний бизнес

...

Новый образец вредоносной программы TheMoon атакует маршрутизаторы ASUS и IoT-устройства, собирая их в ботнет. География кампании впечатляет: зафиксированы заражения в 88 странах.

TheMoon обычно связывают с прокси-сервисом Faceless, который берёт в оборот скомпрометированные устройства и использует их в качестве прокси.

В результате киберпреступники получают возможность анонимизировать свою вредоносную активность. Новые атаки TheMoon, стартовавшие в начале марта 2024-го, отслеживают исследователи из Black Lotus Labs.

На сегодняшний день эксперты отметили 6 тысяч роутеров ASUS, ставших жертвой злоумышленников менее чем за 72 часа. Организованный TheMoon ботнет уже используется в операциях IcedID и SolarMarker.

TheMoon впервые был замечен в атаках в начале 2014 года. Тогда вредонос атаковал маршрутизаторы LinkSys. В новых атаках, по словам Black Lotus Labs, ботнет переключился на устройства от ASUS.

«Мы вычислили карту прокси-сервиса Faceless благодаря глобальной видимости Сети Lumen. В том числе выявили кампанию, запущенную в первую неделю марта 2024-го, в ходе которой злоумышленники заразили шесть тысяч роутеров ASUS менее чем за 72 часа», — пишут исследователи.

Специалисты не уточняют, каким именно способом атакующие пробивают маршрутизаторы. Однако, если учесть, что указанные модели уже не поддерживаются, скорее всего, речь идёт об эксплуатации известной уязвимости. Злоумышленники также могут брутфорсить пароли администраторов устройств.

Попав на устройство, вредонос проверяет наличие определённых шелл-сред — «/bin/bash», «/bin/ash» или «/bin/sh» — и останавливается в случае, если они не найдены.

Если же ботнет обнаруживает совместимую среду, следующим этапом расшифровывается загрузчик и выполняет пейлоад с именем «.nttpd». Последний создаёт PID-файл с номером версии (на сегодняшний день — 26).

Далее TheMoon настраивает правила iptables, чтобы дропать TCP-трафик на портах 8080 и 80. Эта тактика защищает взломанное устройство от вмешательства со стороны.

Следующая главная новость »

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Марта 2026 - 09:07

Сетевые черви Атаки на сайты Домашние пользователи

Википедию атаковал портящий страницы JavaScript-червь

У Wikimedia Foundation 5 марта случился неприятный киберинцидент: по проектам прошёлся самораспространяющийся JavaScript-червь, из-за которого инженерам пришлось временно ограничить редактирование и срочно откатывать вредоносные правки. Важная оговорка: по уточнению фонда, вандализм затронул только Meta-Wiki, а не всю Википедию целиком.

Снаружи это выглядело довольно хаотично: редакторы начали замечать автоматические правки, скрытые скрипты и странные изменения на страницах, после чего Wikimedia перевела проекты в режим «только чтение».

Согласно странице фонда, проблемы начались около 18:36 по Москве, в 20:09 вики вернули в режим записи, а позже начали постепенно восстанавливать и пользовательские скрипты.

По предварительной картине, всё началось после срабатывания вредоносного скрипта, который хранился в русской версии Википедии на странице User:Ololoshka562/test.js и, как пишет BleepingComputer, был загружен ещё в марте 2024 года.

В Phabricator и в публикации BleepingComputer говорится, что скрипт, вероятно, активировали во время проверки пользовательского кода: после запуска он пытался прописать вредоносный загрузчик и в пользовательский common.js, и в глобальный MediaWiki:Common.js, чтобы цепочка распространялась дальше уже сама.

Если по-простому, схема была такой: один заражённый скрипт подхватывался в браузере редактора, а дальше пытался переписать JS-настройки этого пользователя и общий скрипт сайта (при наличии нужных прав). После этого любой, кто открывал такой общий скрипт, рисковал снова запустить ту же цепочку.

Параллельно червь ещё и правил случайные страницы, добавляя туда скрытый загрузчик. По оценке BleepingComputer, изменены были примерно 3996 страниц, а у около 85 пользователей оказались подменены файлы common.js, но это именно оценка издания, а не официальный итог Wikimedia.

Сама Wikimedia Foundation после инцидента заявила, что вредоносный код оставался активным 23 минуты. За это время он успел менять и удалять контент на Meta-Wiki, но постоянного ущерба, по словам фонда, не нанёс: материалы восстанавливают, признаков атаки именно на Википедию нет, как и доказательств утечки персональных данных.

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!