Операторы ботнета TheMoon распространяют новый модуль, превращающий IoT-устройства на базе MIPS-процессоров в прокси-серверы для сдачи в аренду другим злоумышленникам. К такому выводу пришли специалисты по информационной безопасности интернет-провайдера CenturyLink после изучения активности зомби-сети за последние 12 месяцев. Как выяснили эксперты, инфицированное оборудование ранее использовалось для брутфорс-атак, DDoS-кампаний и мошенничества с видеорекламой на YouTube.

Многофункциональный ботнет TheMoon известен с 2014 года и нацелен на широкий спектр маршрутизаторов D-Link, MikroTik, Linksys, ASUS, а также GPON-устройства. Вредоносная сеть применяет несколько известных эксплойтов, чтобы получить доступ к уязвимому IoT-оборудованию и установить на него полезную нагрузку. Аналитики утверждают, что в ходе атаки TheMoon использует три разных порта командного сервера для регистрации зараженного коммутатора, доставки прокси-модуля и обмена данными с центром управления.

Новый компонент, обнаруженный специалистами, загружается только на оборудование с процессорами архитектуры MIPS и разворачивает на нем сервер SOCKS5. Целью злоумышленников была сдача таких прокси в аренду, поэтому с апреля 2018 года они добавили необходимость аутентификации на таких устройствах. Благодаря незакрытому TCP-порту на сервере специалисты получили возможность наблюдать за действиями мошенников с мая по август прошлого года. Изучив вредоносный трафик, ИБ-эксперты нашли 24 командных сервера, оперировавших более 10 тыс. портов в рамках криминальной кампании по накрутке просмотров видеорекламы на YouTube.

По мнению экспертов, мощности TheMoon использовали мошенники, взявшие зомби-сеть в аренду. С ее помощью злоумышленники обращались к своим роликам на YouTube в расчете на вознаграждение от демонстрации рекламы. Исследователи отмечают, что за шесть часов работы лишь один хост мог сгенерировать 19 тыс. запросов с уникальных адресов, расположенных в почти 3 тыс. доменов.

Специалисты CenturyLink заблокировали боты в своей сети, а также передали информацию об инфицированных маршрутизаторах другим провайдерам. Благодаря этому в октябре 2018 года активность TheMoon резко снизилась, однако эксперты не исключают, что злоумышленники вскоре добавят в него новые IoT-устройства.

Категории: Вредоносные программы, Мошенничество