Daha önce etkisiz hale getirildiği düşünülen bir botnet'in, Faceless adı verilen bir suç proxy hizmetini beslemek için kullanım ömrü sonu (EoL) küçük ev/küçük ofis (SOHO) yönlendiricilerini ve IoT cihazlarını köleleştirdiği gözlemlendi.
Lumen Technologies'deki Black Lotus Labs ekibi, “2014 yılında ortaya çıkan TheMoon, 2024 yılının Ocak ve Şubat aylarında 88 ülkeden 40.000'den fazla bota ulaşırken sessizce çalışıyor” dedi.
Güvenlik gazetecisi Brian Krebs tarafından Nisan 2023'te ayrıntılı olarak açıklanan Faceless, anonimlik hizmetlerini diğer tehdit aktörlerine günde bir dolardan daha az bir maliyetle ihmal edilebilir bir ücret karşılığında sunan, kötü niyetli bir konut proxy hizmetidir.
Bunu yaparken, müşterilerin kötü niyetli trafiğini, hizmette reklamı yapılan on binlerce ele geçirilmiş sistem üzerinden yönlendirmelerine ve bunların gerçek kökenlerini etkili bir şekilde gizlemelerine olanak tanır.
Faceless destekli altyapının, SolarMarker ve IcedID gibi kötü amaçlı yazılım operatörleri tarafından IP adreslerini gizlemek amacıyla komuta ve kontrol (C2) sunucularına bağlanmak için kullanıldığı değerlendirildi.
Bununla birlikte, botların çoğunluğu şifre püskürtmek ve/veya veri sızdırmak için kullanılıyor ve öncelikle finans sektörünü hedef alıyor; virüs bulaşmış ana bilgisayarların %80'inden fazlası ABD'de bulunuyor.
Lumen, kötü niyetli aktiviteyi ilk olarak 2023'ün sonlarında gözlemlediğini, amacın EoL SOHO yönlendiricilerini ve IoT cihazlarını ihlal etmek, TheMoon'un güncellenmiş bir sürümünü dağıtmak ve sonuçta botnet'i Faceless'a kaydetmek olduğunu söyledi.
Saldırılar, bir C2 sunucusundan bir ELF çalıştırılabilir dosyasının getirilmesinden sorumlu olan bir yükleyicinin düşürülmesini gerektirir. Bu, kendisini diğer savunmasız sunuculara yayan bir solucan modülünü ve kullanıcı adına bottan internete giden trafiği proxy olarak kullanmak için kullanılan “.sox” adlı başka bir dosyayı içerir.
Ayrıca kötü amaçlı yazılım, iptables kurallarını, gelen TCP trafiğini 8080 ve 80 numaralı bağlantı noktalarından kesecek ve üç farklı IP aralığından gelen trafiğe izin verecek şekilde yapılandırıyor. Ayrıca, virüslü cihazın internet bağlantısı olup olmadığını ve cihazın bir sanal alanda çalıştırılıp çalıştırılmadığını belirlemek için meşru NTP sunucuları listesinden bir NTP sunucusuyla bağlantı kurmaya çalışır.
Artık üretici tarafından desteklenmediklerinden ve zaman içinde güvenlik açıklarına karşı duyarlı hale geldiklerinden, EoL cihazlarının botnet oluşturmak için hedeflenmesi tesadüf değildir. Cihazlara kaba kuvvet saldırıları yoluyla sızılması da mümkündür.
Proxy ağı üzerinde yapılan ek analizler, bulaşmaların %30'undan fazlasının 50 günden fazla sürdüğünü, cihazların yaklaşık %15'inin ise 48 saat veya daha kısa süre boyunca ağın bir parçası olduğunu ortaya çıkardı.
Şirket, “Faceless, 'iSocks' anonimlik hizmetinin küllerinden doğan müthiş bir proxy hizmeti haline geldi ve siber suçluların faaliyetlerini gizlemede ayrılmaz bir araç haline geldi” dedi. “TheMoon, Faceless proxy hizmetinin tek olmasa da birincil bot tedarikçisidir.”