Black Lotus Labs, TheMoon kötü amaçlı yazılımının savunmasız yönlendiricileri hedef alan ve onları Faceless proxy hizmeti için botlara dönüştüren çok yıllık bir kampanyasını keşfetti.
TheMoon botlarının sayısı 2024'ün başlarında 40.000'in üzerine çıktı ve Faceless'ın haftada yaklaşık 7.000 yeni kullanıcı kazanmasını sağladı.
2023'ün sonlarında, kullanım ömrü sona eren SOHO/IoT cihazlarını hedef alan ve daha önce hareketsiz olan TheMoon botnet'in bir çeşidi olan, cihazlara bulaşan ve onları Faceless konut proxy hizmetine kaydeden bir botnet tespit edildi.
Faceless, iSocks anonimlik hizmetinin devamı niteliğindedir ve siber suçlular arasında faaliyetlerini anonimleştirme konusunda popülerdir; oysa TheMoon botları ile Faceless arasındaki güçlü korelasyon, TheMoon'un Faceless proxy hizmeti için ana bot tedarikçisi olduğunu göstermektedir.
Faceless ağının haritasını çıkardı ve 3 gün içinde 6.000 ASUS yönlendiriciyi hedef alan bir kampanya gözlemledi; Lumen Technologies ise Faceless ve TheMoon altyapısına giden/giden trafiği engelledi ve bu operasyonu aksatmak için uzlaşma göstergeleri yayınladı.
Kabuk kullanılabilirliğinden yararlanan bir ilk yükleyici, cihaza bulaşır ve ardından kalıcılık oluşturur, belirli IP aralıkları için güvenlik duvarı kuralları belirler ve internet bağlantısını doğrulamak için sahte bir NTP isteği kullanır.
Sabit kodlanmış IP'lere yapılan bir bağlantı girişiminin ve olası bir check-in paketinin ardından, kötü amaçlı yazılım, C2 sunucusundan gelen talimatlara göre ikincil bir veri yükünü (solucan veya proxy) alır.
Solucan Modülü, savunmasız web sunucularından yararlanarak ve ek modüller ile .sox dosyasını indirerek yayılır. Yürütüldükten sonra güncellemeleri kontrol eder, Faceless C2 sunucusuyla bağlantı kurar ve Lumen raporlarını okur.
Güncelleme dosyası bulunamazsa, bağlanmak için sabit kodlanmış bir IP adresi kullanır ve güncelleme dosyasını aldıktan sonra .sox, C2 sunucu adresini çıkarır, rastgele bir bağlantı noktasında iletişimi başlatır ve ardından C2 bilgilerini güncellemek veya izleri kaldırmak için ek komut dosyaları gönderir. kötü amaçlı yazılımdan yeniden
Araştırma, TheMoon botnet ile Faceless proxy hizmeti arasında güçlü bir korelasyon olduğunu ortaya çıkardı; burada TheMoon ve Faceless C2 sunucularıyla iletişim kuran botlar arasında önemli örtüşmelerin gözlemlendiği görüldü.
Yeni TheMoon botlarının çoğu, 3 gün içinde Faceless C2 sunucusuyla bağlantı kurdu ve her iki hizmet de aynı iletişim bağlantı noktası şemasını kullandı ve TheMoon C2 sunucusuyla doğrudan iletişim kuran bir Faceless C2 sunucusu kurdu; bu da TheMoon'un Faceless'ı besleyen birincil botnet olduğunu kuvvetle öneriyor.
Küresel Telemetri Analizi – Yüzsüz
Moon kötü amaçlı yazılımı cihazlara bulaşıyor ve C2 sunucusuyla iletişim kuruyor, çünkü bu cihazların bir alt kümesi Faceless proxy ağına kayıtlı, burada Faceless C2'lerden talimatlar alıyor ve nihai hedefe ulaşmadan önce trafiği bir aracı sunucu üzerinden yönlendiriyor.
Ağ, coğrafi konum belirleme ve IP tabanlı engellemeyi aşmak için özellikle kullanışlıdır; analizler, haftada 30.000 botun TheMoon C2 ile iletişim kurduğunu, yalnızca 23.000 botun Faceless C2'lere bağlandığını gösteriyor; bu da bazı cihazların TheMoon ile etkileşime girdiğini ancak Faceless'ın etkileşime girmediğini gösteriyor.
Geriye kalan botların kimlik bilgilerinin doldurulması veya finansal verilerin sızması için kullanılabileceğinden şüpheleniliyor.
İlginç bir şekilde, bazı uzun süreli bağlantıların bilinen tehdit aktörü altyapısından kaynaklanması, bu kişilerin ek anonimlik için Faceless'ı kullanıyor olabileceklerini gösteriyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan