Một mạng botnet trước đây được coi là trơ đã được quan sát thấy nô lệ cuối vòng đời (EoL), các bộ định tuyến nhà nhỏ / văn phòng nhỏ (SOHO) và các thiết bị IoT để cung cấp nhiên liệu cho một dịch vụ proxy tội phạm có tên Faceless.
"TheMoon, xuất hiện vào năm 2014, đã hoạt động lặng lẽ trong khi phát triển lên hơn 40.000 bot từ 88 quốc gia vào tháng 1 và tháng 2 năm 2024", nhóm Black Lotus Labs tại Lumen Technologies cho biết.
Faceless, được nhà báo bảo mật Brian Krebs trình bày chi tiết vào tháng 4/2023, là một dịch vụ proxy dân cư độc hại cung cấp dịch vụ ẩn danh cho các tác nhân đe dọa khác với mức phí không đáng kể có giá dưới một đô la mỗi ngày.
Khi làm như vậy, nó cho phép khách hàng định tuyến lưu lượng truy cập độc hại của họ thông qua hàng chục nghìn hệ thống bị xâm nhập được quảng cáo trên dịch vụ, che giấu hiệu quả nguồn gốc thực sự của họ.
Cơ sở hạ tầng được hỗ trợ bởi Faceless đã được đánh giá là được sử dụng bởi các nhà khai thác phần mềm độc hại như SolarMarker và IcedID để kết nối với các máy chủ chỉ huy và kiểm soát (C2) của họ để làm xáo trộn địa chỉ IP của họ.
Điều đó đang được nói, phần lớn các bot được sử dụng để phun mật khẩu và / hoặc lọc dữ liệu, chủ yếu nhắm vào lĩnh vực tài chính, với hơn 80% máy chủ bị nhiễm nằm ở Hoa Kỳ.
Lumen cho biết họ lần đầu tiên quan sát thấy hoạt động độc hại vào cuối năm 2023, mục tiêu là vi phạm các bộ định tuyến và thiết bị IoT của EoL SOHO và triển khai phiên bản cập nhật của TheMoon và cuối cùng đăng ký botnet vào Faceless.
Các cuộc tấn công đòi hỏi phải thả một trình tải chịu trách nhiệm tìm nạp tệp thực thi ELF từ máy chủ C2. Điều này bao gồm một mô-đun sâu tự lây lan sang các máy chủ dễ bị tấn công khác và một tệp khác có tên là ".sox" được sử dụng để ủy quyền lưu lượng truy cập từ bot đến internet thay mặt cho người dùng.
Ngoài ra, phần mềm độc hại cấu hình các quy tắc iptables để giảm lưu lượng TCP đến trên cổng 8080 và 80 và cho phép lưu lượng truy cập từ ba dải IP khác nhau. Nó cũng cố gắng liên hệ với máy chủ NTP từ danh sách các máy chủ NTP hợp pháp trong một nỗ lực có khả năng để xác định xem thiết bị bị nhiễm có kết nối internet hay không và nó không được chạy trong hộp cát.
Việc nhắm mục tiêu vào các thiết bị EoL để chế tạo botnet không phải là ngẫu nhiên, vì chúng không còn được nhà sản xuất hỗ trợ và dễ bị lỗ hổng bảo mật theo thời gian. Cũng có thể các thiết bị bị xâm nhập bằng các cuộc tấn công brute-force.
Phân tích bổ sung về mạng proxy đã tiết lộ rằng hơn 30% số ca nhiễm kéo dài hơn 50 ngày, trong khi khoảng 15% thiết bị là một phần của mạng trong 48 giờ hoặc ít hơn.
"Faceless đã trở thành một dịch vụ proxy đáng gờm trỗi dậy từ đống tro tàn của dịch vụ ẩn danh 'iSocks' và đã trở thành một công cụ không thể thiếu cho tội phạm mạng trong việc làm xáo trộn hoạt động của chúng", công ty cho biết. "TheMoon là nhà cung cấp bot chính, nếu không muốn nói là duy nhất, cho dịch vụ proxy Faceless."
Thuê Botnet : Dịch Vụ Cho Thuê Ddos Của Mạng Botnet Faghost