最近，網(wǎng)絡(luò)安全公司 Black Lotus Labs 發(fā)現(xiàn)了一個(gè)名為“TheMoon”的惡意軟件僵尸網(wǎng)絡(luò)變種，它已經(jīng)感染了全球88個(gè)國家和地區(qū)的數(shù)千臺(tái)SOHO路由器和物聯(lián)網(wǎng)設(shè)備。在3月初發(fā)現(xiàn)該惡意活動(dòng)后，專家們進(jìn)行了72小時(shí)的追蹤，期間發(fā)現(xiàn)有6000臺(tái)華碩路由器成為攻擊目標(biāo)。這些路由器被用來進(jìn)行各種惡意活動(dòng)，包括但不限于數(shù)據(jù)竊取和分布式拒絕服務(wù)攻擊（DDoS）。

研究人員指出，黑客利用IcedID和SolarMarker等惡意軟件，并通過代理僵尸網(wǎng)絡(luò)來掩蓋其在線活動(dòng)。在這次攻擊中，攻擊者很可能利用了固件中的已知漏洞，或者通過暴力破解管理員密碼、測(cè)試默認(rèn)憑據(jù)和弱憑據(jù)來攻破路由器。

一旦設(shè)備感染了惡意軟件，它會(huì)檢查是否存在特定的shell環(huán)境，并加載解密后的有效載荷，該有效載荷會(huì)創(chuàng)建一個(gè)帶有版本號(hào)的PID文件。然后，惡意軟件會(huì)設(shè)置iptables規(guī)則，阻止特定端口上的TCP流量，同時(shí)允許來自特定IP范圍的流量，以確保被入侵設(shè)備不受外部干擾。此外，惡意軟件還會(huì)嘗試聯(lián)系合法的NTP服務(wù)器列表，以檢測(cè)沙盒環(huán)境并驗(yàn)證互聯(lián)網(wǎng)連接，最后通過循環(huán)使用一組硬編碼IP地址與命令和控制（C2）服務(wù)器連接，接收指令.