Une nouvelle variante du botnet malveillant « The Moon » a été repérée infectant des milliers de routeurs SOHO (small office and home office) obsolètes et d’appareils IoT dans 88 pays.
La Lune est liée au service proxy » Sans visage », qui utilise certains des appareils infectés comme mandataires pour acheminer le trafic vers les cybercriminels qui souhaitent anonymiser leurs activités malveillantes.
Les chercheurs de Black Lotus Labs surveillant la dernière campagne The Moon, qui a débuté début mars 2024, ont observé que 6 000 routeurs ASUS étaient ciblés en moins de 72 heures.
Les analystes des menaces rapportent que des opérations malveillantes telles que Ice dID et Solar Marker utilisent actuellement le botnet proxy pour obscurcir leur activité en ligne.
Cibler les routeurs ASUS
TheMoon a été repéré pour la première fois en 2014 lorsque des chercheurs ont averti que le logiciel malveillant exploitait des vulnérabilités pour infecter les appareils LinkSys.
La dernière campagne du malware a infecté près de 7 000 appareils en une semaine, Black Lotus Labs affirmant qu’ils ciblent principalement les routeurs ASUS.
« Grâce à la visibilité du réseau mondial de Lumen, Black Lotus Labs a identifié la carte logique du service proxy sans visage, y compris une campagne qui a débuté la première semaine de mars 2024 et qui a ciblé plus de 6 000 routeurs ASUS en moins de 72 heures », avertissent les chercheurs de Black Lotus Labs.
Les chercheurs ne précisent pas la méthode exacte utilisée pour violer les routeurs ASUS, mais étant donné que les modèles d’appareils ciblés sont en fin de vie, il est probable que les attaquants aient exploité les vulnérabilités connues du micrologiciel.
Les attaquants peuvent également forcer brutalement les mots de passe des administrateurs ou tester les informations d’identification par défaut et faibles.
Une fois que le logiciel malveillant a accès à un périphérique, il vérifie la présence d’environnements shell spécifiques (« /bin/bash », « /bin/ash » ou « /bin/sh »); sinon, il arrête l’exécution.
Si un shell compatible est détecté, le chargeur déchiffre, supprime et exécute une charge utile nommée « .nttpd » qui crée un fichier PID avec un numéro de version (26 actuellement).
Ensuite, le logiciel malveillant met en place des règles iptables pour supprimer le trafic TCP entrant sur les ports 8080 et 80 tout en autorisant le trafic à partir de plages d’adresses IP spécifiques. Cette tactique sécurise l’appareil compromis contre les interférences externes.
Le logiciel malveillant tente ensuite de contacter une liste de serveurs NTP légitimes pour détecter les environnements de bac à sable et vérifier la connectivité Internet.
Enfin, le logiciel malveillant se connecte au serveur de commande et de contrôle (C2) en parcourant un ensemble d’adresses IP codées en dur, et le C2 répond avec des instructions.
Dans certains cas, le C2 peut demander au logiciel malveillant de récupérer des composants supplémentaires, comme un module ver qui recherche les serveurs Web vulnérables sur les ports 80 et 8080 ou « .fichiers » sox » qui transmettent le trafic par proxy sur le périphérique infecté.
Le service proxy sans visage
Faceless est un service proxy de cybercriminalité qui achemine le trafic réseau via des appareils compromis pour les clients qui paient exclusivement en crypto-monnaies. Le service n’utilise pas de processus de vérification « connaissez-vous votre client », ce qui le rend accessible à tous.
Pour éviter que leur infrastructure ne soit cartographiée par les chercheurs, les opérateurs sans visage s’assurent que chaque appareil infecté communique avec un seul serveur aussi longtemps que dure l’infection.
Black Lotus Labs rapporte qu’un tiers des infections durent plus de 50 jours, tandis que 15% sont perdues en moins de 48 heures. Cela indique que ces derniers sont mieux surveillés et que la compromission est détectée rapidement.
Malgré le lien clair entre La Lune et Sans visage, les deux opérations semblent être des écosystèmes de cybercriminalité distincts, car toutes les infections de logiciels malveillants ne font pas partie du botnet mandataire sans visage.
Pour vous défendre contre ces botnets, utilisez des mots de passe administrateur forts et mettez à niveau le micrologiciel de votre appareil vers la dernière version qui corrige les failles connues. Si l’appareil a atteint sa fin de vie, remplacez-le par un modèle activement pris en charge.
Les signes courants d’infection par des logiciels malveillants sur les routeurs et les lots incluent des problèmes de connectivité, une surchauffe et des modifications de paramètres suspectes.