Ботнет TheMoon заразил 6 тыс. роутеров ASUS за 72 часа

Екатерина Быстрова 27 Марта 2024 - 10:10

Малый и средний бизнес

...

Новый образец вредоносной программы TheMoon атакует маршрутизаторы ASUS и IoT-устройства, собирая их в ботнет. География кампании впечатляет: зафиксированы заражения в 88 странах.

TheMoon обычно связывают с прокси-сервисом Faceless, который берёт в оборот скомпрометированные устройства и использует их в качестве прокси.

В результате киберпреступники получают возможность анонимизировать свою вредоносную активность. Новые атаки TheMoon, стартовавшие в начале марта 2024-го, отслеживают исследователи из Black Lotus Labs.

На сегодняшний день эксперты отметили 6 тысяч роутеров ASUS, ставших жертвой злоумышленников менее чем за 72 часа. Организованный TheMoon ботнет уже используется в операциях IcedID и SolarMarker.

TheMoon впервые был замечен в атаках в начале 2014 года. Тогда вредонос атаковал маршрутизаторы LinkSys. В новых атаках, по словам Black Lotus Labs, ботнет переключился на устройства от ASUS.

«Мы вычислили карту прокси-сервиса Faceless благодаря глобальной видимости Сети Lumen. В том числе выявили кампанию, запущенную в первую неделю марта 2024-го, в ходе которой злоумышленники заразили шесть тысяч роутеров ASUS менее чем за 72 часа», — пишут исследователи.

Специалисты не уточняют, каким именно способом атакующие пробивают маршрутизаторы. Однако, если учесть, что указанные модели уже не поддерживаются, скорее всего, речь идёт об эксплуатации известной уязвимости. Злоумышленники также могут брутфорсить пароли администраторов устройств.

Попав на устройство, вредонос проверяет наличие определённых шелл-сред — «/bin/bash», «/bin/ash» или «/bin/sh» — и останавливается в случае, если они не найдены.

Если же ботнет обнаруживает совместимую среду, следующим этапом расшифровывается загрузчик и выполняет пейлоад с именем «.nttpd». Последний создаёт PID-файл с номером версии (на сегодняшний день — 26).

Далее TheMoon настраивает правила iptables, чтобы дропать TCP-трафик на портах 8080 и 80. Эта тактика защищает взломанное устройство от вмешательства со стороны.

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 03 Февраля 2026 - 18:19

macOS iOS Домашние пользователи Корпорации Apple

Apple неожиданно обновила ПО для старых iPhone и macOS-устройств

Apple выпустила сразу несколько обновлений ПО, но не для самых свежих версий iOS, macOS и watchOS, а для устройств, которые давно считаются «возрастными». Апдейты уже доступны для старых iPhone, iPad, macOS-компьютеров, Apple Watch и выглядят как попытка продлить им жизнь ещё на пару лет.

По данным инсайдера Аарона Перриса, компания выложила следующие обновления:

iOS 16.7.14 (20H370);
iPadOS 16.7.14 (20H370);
macOS Big Sur 11.7.11 (20G1443);
watchOS 10.6.2 (21U594);
watchOS 9.6.4 (20U512);
watchOS 6.3.1 (17U224);
macOS Catalina Security Update 2026-001.

Все эти релизы предназначены для устройств, которые уже не поддерживают актуальные версии операционных систем.

С iOS 16.7.14 всё относительно понятно. Этот апдейт исправляет проблему, возникшую в предыдущей версии iOS 16.7.13. Apple выпустила её на прошлой неделе, но затем была вынуждена отозвать обновление из-за сбоев с сетевым подключением, выявленных у пользователей в Австралии.

А вот обновления для macOS и watchOS стали неожиданностью. Судя по официальной документации Apple, они направлены не столько на устранение уязвимостей, сколько на продление работы ключевых сервисов на старых устройствах. Речь идёт прежде всего об iMessage, FaceTime и активации устройств.

Так, в описании обновления для macOS Big Sur Apple прямо указывает, что оно продлевает срок действия сертификатов, необходимых для корректной работы этих функций, после января 2027 года. Проще говоря, без этого апдейта старые «маки» могли бы в какой-то момент просто выпасть из экосистемы Apple.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »