Varian terbaru dari malware TheMoon telah muncul, menyasar ribuan router kantor kecil dan perangkat Internet of Things (IoT) yang sudah usang di seluruh dunia. Tim Black Lotus Labs di Lumen Technologies menemukan versi terbaru dari bot tersebut, yang menginfeksi sejumlah besar perangkat usang di 88 negara.
Botnet TheMoon pertama kali terdeteksi pada tahun 2014, dan sejak 2017, operatornya telah menambahkan setidaknya 6 eksploitasi perangkat IoT ke dalam kode bot tersebut. Botnet ini menargetkan modem atau router broadband dari berbagai vendor, termasuk Linksys, ASUS, MikroTik, D-Link, dan GPON.
Pada bulan Mei 2018, peneliti dari perusahaan keamanan Qihoo 360 Netlab melaporkan bahwa penjahat dunia maya yang menargetkan router Dasan GPON menggunakan kelemahan zero-day baru, merekrut perangkat yang terpengaruh ke dalam botnet mereka.
Pada bulan Februari 2019, CenturyLink Threat Research Labs mengumpulkan bukti bahwa pelaku botnet menjual botnet proxy ini sebagai layanan kepada geng kejahatan dunia maya lain yang menggunakan untuk berbagai kegiatan jahat, termasuk pemaksaan kredensial dan penipuan iklan video.
Versi terbaru dari TheMoon, yang ditemukan oleh tim Black Lotus Labs, menginfeksi lebih dari 40.000 bot dari 88 negara selama bulan Januari dan Februari 2024. Sebagian besar bot terkait dengan layanan proxy Faceless yang terkenal di kalangan penjahat dunia maya.
Menurut para ahli, botnet TheMoon memfasilitasi pertumbuhan layanan Faceless dengan kecepatan hampir 7.000 pengguna baru per minggu. Layanan tanpa wajah ini menjadi pilihan ideal bagi penjahat dunia maya yang mencari anonimitas, dengan jaringan ini digunakan oleh operator botnet seperti SolarMarker dan IcedID.
Rantai infeksi dimulai dengan file loader yang ringan, memindai keberadaan shell seperti “/bin/bash,” “/bin/ash,” atau “/bin/sh.” Setelah itu, payload tahap berikutnya dieksekusi dengan file “.nttpd,” diikuti dengan pemeriksaan file “.nttpd.pid” untuk mengatur aturan iptable dan koneksi ke server NTP dan C2.
Para peneliti percaya bahwa malware ini menggunakan koneksi NTP untuk memverifikasi koneksi internet perangkat yang terinfeksi, sambil terhubung ke server C2 untuk menerima instruksi selanjutnya. Laporan tersebut juga mencakup Indikator Kompromi (IoC) terkait dengan kampanye ini untuk membantu dalam deteksi dan penanganan infeksi.
Source: https://securityaffairs.com/161091/malware/themoon-malware-targets-soho.html
Botnet TheMoon pertama kali terdeteksi pada tahun 2014, dan sejak 2017, operatornya telah menambahkan setidaknya 6 eksploitasi perangkat IoT ke dalam kode bot tersebut. Botnet ini menargetkan modem atau router broadband dari berbagai vendor, termasuk Linksys, ASUS, MikroTik, D-Link, dan GPON.
Pada bulan Mei 2018, peneliti dari perusahaan keamanan Qihoo 360 Netlab melaporkan bahwa penjahat dunia maya yang menargetkan router Dasan GPON menggunakan kelemahan zero-day baru, merekrut perangkat yang terpengaruh ke dalam botnet mereka.
Pada bulan Februari 2019, CenturyLink Threat Research Labs mengumpulkan bukti bahwa pelaku botnet menjual botnet proxy ini sebagai layanan kepada geng kejahatan dunia maya lain yang menggunakan untuk berbagai kegiatan jahat, termasuk pemaksaan kredensial dan penipuan iklan video.
Versi terbaru dari TheMoon, yang ditemukan oleh tim Black Lotus Labs, menginfeksi lebih dari 40.000 bot dari 88 negara selama bulan Januari dan Februari 2024. Sebagian besar bot terkait dengan layanan proxy Faceless yang terkenal di kalangan penjahat dunia maya.
Menurut para ahli, botnet TheMoon memfasilitasi pertumbuhan layanan Faceless dengan kecepatan hampir 7.000 pengguna baru per minggu. Layanan tanpa wajah ini menjadi pilihan ideal bagi penjahat dunia maya yang mencari anonimitas, dengan jaringan ini digunakan oleh operator botnet seperti SolarMarker dan IcedID.
Rantai infeksi dimulai dengan file loader yang ringan, memindai keberadaan shell seperti “/bin/bash,” “/bin/ash,” atau “/bin/sh.” Setelah itu, payload tahap berikutnya dieksekusi dengan file “.nttpd,” diikuti dengan pemeriksaan file “.nttpd.pid” untuk mengatur aturan iptable dan koneksi ke server NTP dan C2.
Para peneliti percaya bahwa malware ini menggunakan koneksi NTP untuk memverifikasi koneksi internet perangkat yang terinfeksi, sambil terhubung ke server C2 untuk menerima instruksi selanjutnya. Laporan tersebut juga mencakup Indikator Kompromi (IoC) terkait dengan kampanye ini untuk membantu dalam deteksi dan penanganan infeksi.
Source: https://securityaffairs.com/161091/malware/themoon-malware-targets-soho.html