Ботнет TheMoon заразил 6 тыс. роутеров ASUS за 72 часа

Екатерина Быстрова 27 Марта 2024 - 10:10

Малый и средний бизнес

...

Новый образец вредоносной программы TheMoon атакует маршрутизаторы ASUS и IoT-устройства, собирая их в ботнет. География кампании впечатляет: зафиксированы заражения в 88 странах.

TheMoon обычно связывают с прокси-сервисом Faceless, который берёт в оборот скомпрометированные устройства и использует их в качестве прокси.

В результате киберпреступники получают возможность анонимизировать свою вредоносную активность. Новые атаки TheMoon, стартовавшие в начале марта 2024-го, отслеживают исследователи из Black Lotus Labs.

На сегодняшний день эксперты отметили 6 тысяч роутеров ASUS, ставших жертвой злоумышленников менее чем за 72 часа. Организованный TheMoon ботнет уже используется в операциях IcedID и SolarMarker.

TheMoon впервые был замечен в атаках в начале 2014 года. Тогда вредонос атаковал маршрутизаторы LinkSys. В новых атаках, по словам Black Lotus Labs, ботнет переключился на устройства от ASUS.

«Мы вычислили карту прокси-сервиса Faceless благодаря глобальной видимости Сети Lumen. В том числе выявили кампанию, запущенную в первую неделю марта 2024-го, в ходе которой злоумышленники заразили шесть тысяч роутеров ASUS менее чем за 72 часа», — пишут исследователи.

Специалисты не уточняют, каким именно способом атакующие пробивают маршрутизаторы. Однако, если учесть, что указанные модели уже не поддерживаются, скорее всего, речь идёт об эксплуатации известной уязвимости. Злоумышленники также могут брутфорсить пароли администраторов устройств.

Попав на устройство, вредонос проверяет наличие определённых шелл-сред — «/bin/bash», «/bin/ash» или «/bin/sh» — и останавливается в случае, если они не найдены.

Если же ботнет обнаруживает совместимую среду, следующим этапом расшифровывается загрузчик и выполняет пейлоад с именем «.nttpd». Последний создаёт PID-файл с номером версии (на сегодняшний день — 26).

Далее TheMoon настраивает правила iptables, чтобы дропать TCP-трафик на портах 8080 и 80. Эта тактика защищает взломанное устройство от вмешательства со стороны.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 20 Апреля 2026 - 10:03

Домашние пользователи Системы контентной веб-фильтрации

Россиянам за рубежом блокируют доступ к сайтам и приложениям

Российские туристы всё чаще сталкиваются с тем, что не могут открыть некоторые российские сайты и приложения при подключении к публичным сетям Wi-Fi за рубежом. В результате у части пользователей возникают сложности, например, при покупке билетов через российские онлайн-агрегаторы.

О проблеме сообщило издание Msk Online со ссылкой на Ассоциацию туроператоров России (АТОР).

В свою очередь, в АТОР сослались на жалобы клиентов туркомпаний. Там связали такие сложности с противодействием средствам обхода блокировок: в отдельных случаях популярные ресурсы и приложения могут не открываться при включённом VPN.

Так, один из туристов рассказал о проблемах, с которыми столкнулся в Турции. Подключившись к Wi-Fi в отеле, он не смог воспользоваться приложением агрегатора и открыть сайт авиакомпании, чтобы купить обратный билет. При этом при подключении к другой сети оба сервиса работали корректно.

По данным АТОР, проблема не носит массового характера и пока не считается критичной. Она проявляется не во всех странах, а пользователи, как правило, могут найти альтернативный способ подключения, при котором сервисы работают нормально. В ассоциации порекомендовали туристам не откладывать важные действия на последний момент, брать с собой наличные в валюте, распечатывать важные документы на случай сбоев и учитывать, что привычные цифровые сервисы за рубежом могут работать нестабильно.