最近，網(wǎng)絡(luò)安全公司 Black Lotus Labs 發(fā)現(xiàn)了一個名為“TheMoon”的惡意軟件僵尸網(wǎng)絡(luò)變種，它已經(jīng)感染了全球88個國家和地區(qū)的數(shù)千臺SOHO路由器和物聯(lián)網(wǎng)設(shè)備。在3月初發(fā)現(xiàn)該惡意活動后，專家們進(jìn)行了72小時的追蹤，期間發(fā)現(xiàn)有6000臺華碩路由器成為攻擊目標(biāo)。這些路由器被用來進(jìn)行各種惡意活動，包括但不限于數(shù)據(jù)竊取和分布式拒絕服務(wù)攻擊（DDoS）。

研究人員指出，黑客利用IcedID和SolarMarker等惡意軟件，并通過代理僵尸網(wǎng)絡(luò)來掩蓋其在線活動。在這次攻擊中，攻擊者很可能利用了固件中的已知漏洞，或者通過暴力破解管理員密碼、測試默認(rèn)憑據(jù)和弱憑據(jù)來攻破路由器。

一旦設(shè)備感染了惡意軟件，它會檢查是否存在特定的shell環(huán)境，并加載解密后的有效載荷，該有效載荷會創(chuàng)建一個帶有版本號的PID文件。然后，惡意軟件會設(shè)置iptables規(guī)則，阻止特定端口上的TCP流量，同時允許來自特定IP范圍的流量，以確保被入侵設(shè)備不受外部干擾。此外，惡意軟件還會嘗試聯(lián)系合法的NTP服務(wù)器列表，以檢測沙盒環(huán)境并驗證互聯(lián)網(wǎng)連接，最后通過循環(huán)使用一組硬編碼IP地址與命令和控制（C2）服務(wù)器連接，接收指令.