最近，網絡安全公司 Black Lotus Labs 發(fā)現了一個名為“TheMoon”的惡意軟件僵尸網絡變種，它已經感染了全球88個國家和地區(qū)的數千臺SOHO路由器和物聯網設備。在3月初發(fā)現該惡意活動后，專家們進行了72小時的追蹤，期間發(fā)現有6000臺華碩路由器成為攻擊目標。這些路由器被用來進行各種惡意活動，包括但不限于數據竊取和分布式拒絕服務攻擊（DDoS）。

研究人員指出，黑客利用IcedID和SolarMarker等惡意軟件，并通過代理僵尸網絡來掩蓋其在線活動。在這次攻擊中，攻擊者很可能利用了固件中的已知漏洞，或者通過暴力破解管理員密碼、測試默認憑據和弱憑據來攻破路由器。

一旦設備感染了惡意軟件，它會檢查是否存在特定的shell環(huán)境，并加載解密后的有效載荷，該有效載荷會創(chuàng)建一個帶有版本號的PID文件。然后，惡意軟件會設置iptables規(guī)則，阻止特定端口上的TCP流量，同時允許來自特定IP范圍的流量，以確保被入侵設備不受外部干擾。此外，惡意軟件還會嘗試聯系合法的NTP服務器列表，以檢測沙盒環(huán)境并驗證互聯網連接，最后通過循環(huán)使用一組硬編碼IP地址與命令和控制（C2）服務器連接，接收指令.