【快狠準】變種TheMoon瘋狂攻擊Asus路由器　3日內成功感染6000部裝置

變種殭屍網絡軟件 TheMoon 在過去一個月非常進擊，安全專家發現黑客已利用 TheMoon 入侵 88 個國家的小型辦公室及家用路由器，3 日內成功將超過 6,000 部裝置收編旗下，當中更有絕大部分屬於 Asus 路由器。被感染的裝置，會用來隱藏犯罪分子的活動，如果不幸成為其中一員，隨時會在執法部門追蹤罪犯行蹤期間，無辜成為被調查的對象。

眾所周知，黑客不會放過任何機會建立或壯大殭屍網絡大軍的規模，因為殭屍網絡的用途廣泛，當中最多黑客會應用於 DDoS 攻擊，而控制的兵力越大，可製造的洪流亦越強勁及難以阻擋。

不過，Black Lotus Labs 安全研究員在報告中提及由 Faceless 黑客集團開發的變種 TheMoon 惡意軟件，其收集殭屍大軍的目的卻是用於提供匿名上網服務，據研究報告指出，他們的客戶包括 IcedID 和 SolarMarker 等黑客集團。

TheMoon 透過為客戶將上網活動多重引流至殭屍電腦，令執法部門難以追蹤網絡犯罪分子的身分及犯罪行為，由於黑客不會要求驗證客戶身分，任何人都可以付費使用，因此頗受網絡犯罪分子支持。

研究員解釋，第一代 TheMoon 早在 10 年前已出現，當年 Faceless 黑客主要針對 Linksys 生產的路由器漏洞發動發動，同樣在感染這些裝置後，讓它們變成替黑客隱藏 IP 的跳轉工具。

不過，由今年 3 月開始，研究員發現變種 TheMoon 後便一直密切監控對方的活動，結果顯示，TheMoon 曾在短短 72 小時內，成功感染約 6000 部 Asus 路由器，有理由相信 Faceless 黑客已發現 Asus 路由器存在的漏洞。

雖然研究員未能完全掌握變種 TheMoon 的入侵方式，但從觀察到的 Asus 裝置事件可見，TheMoon 主要是利用 Asus 路由器韌體的漏洞，及使用暴力破解方式入侵，然後會檢查裝置的所容度，如發現具有特定的 Shell 環境才會進一步執行餘下程序，包括從伺服器下載其他惡意負載、修改防火牆規則容許特定 IP 的連線等。為了減少被偵測的機會，每部受感染的裝置只會與一個惡意伺服器連線。

要減少受感染風險，研究員認為設定強密碼及保持安全更新固然是關鍵措施，但另一方面亦須留意裝置是否仍繼續得到生產商的支援，如裝置已因推出年代太久已下架，意味將不會獲得生產商的支援，這時便應考慮更新新的型號。

資料來源：https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/

網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》，一系列影片助你自學網絡安全招數，遠離詐騙，安全意識輕鬆 Level Up！立即去片：https://www.wepro180.com/cybersafety/