TheMoon恶意软件新变种肆虐：全球数千SOHO路由器遭感染，Faceless代理服务成帮凶

近期，网络安全研究人员发现了一种名为“TheMoon”的恶意软件新变种正在全球范围内肆虐，感染了88个国家的数千个小型办公室和家庭办公室(SOHO)路由器和物联网设备。这一变种与名为“Faceless”的代理服务紧密相关，后者利用受感染设备作为代理，为希望匿名其恶意活动的网络犯罪分子提供流量路由服务。

据Black Lotus Labs研究人员的监控数据显示，从2024年3月上旬开始，TheMoon的最新活动在短短72小时内就针对了6,000台华硕路由器进行了攻击。这些攻击显示出高度的针对性和有效性，严重威胁着全球网络的安全稳定。

TheMoon恶意软件首次被发现于2014年，当时它主要利用漏洞感染LinkSys设备。然而，随着时间的推移，该恶意软件不断进化，其最新变种专门针对华硕路由器进行攻击。研究人员指出，攻击者可能利用了这些设备固件中的已知漏洞，或者通过暴力破解管理员密码或测试默认和弱凭据来获取对设备的访问权限。

一旦恶意软件成功入侵设备，它将检查是否存在特定的shell环境，并解密、删除并执行有效负载。随后，恶意软件会设置iptables规则以保护受感染设备免受外部干扰，并尝试与命令和控制(C2)服务器建立连接以接收指令。在某些情况下，C2服务器还可能指示恶意软件检索其他组件，如蠕虫模块或代理文件，以进一步扩大感染范围或增强其功能。

Faceless代理服务作为一种网络犯罪代理服务，为恶意软件提供了匿名流量路由的能力。该服务允许客户仅使用加密货币付款，并且不需要进行任何客户验证流程，使得任何人都可以轻易地使用它。为了保护其基础设施的安全，Faceless操作员会确保每台受感染设备在感染期间仅与一台服务器通信。

然而，尽管TheMoon和Faceless之间存在明显的联系，但这两个操作似乎是独立的网络犯罪生态系统。并非所有TheMoon恶意软件感染都会成为Faceless代理僵尸网络的一部分，这表明它们可能只是利用了相同的漏洞或技术来进行攻击。

为了防御这些僵尸网络的攻击，网络安全专家建议用户采取一系列措施。首先，使用强管理员密码并定期更换密码，以减少暴力破解的风险。其次，将设备的固件升级到最新版本，以修复已知的安全漏洞。如果设备已经达到使用寿命终点（EoL），建议将其替换为有效支持的型号。此外，密切关注路由器和物联网设备的状态，及时发现并处理可疑的连接问题、过热和设置更改等迹象。

TheMoon恶意软件新变种的肆虐再次提醒我们网络安全的重要性。只有加强防范意识和采取有效措施，才能保护我们的网络设备免受恶意攻击和侵害。