TheMoon 与“Faceless”代理服务相关联，该服务使用一些受感染的设备作为代理，为希望匿名其恶意活动的网络犯罪分子路由流量。

　　威胁分析师报告称，IcedID 和 SolarMarker 等恶意软件操作目前使用代理僵尸网络来混淆其在线活动。

　　TheMoon 首次被发现 于 2014 年，当时研究人员警告称，该恶意软件正在利用漏洞感染 LinkSys 设备。

　　该恶意软件的最新活动在一周内感染了近 7,000 台设备，Black Lotus Labs 表示它们主要针对华硕路由器。

　　Black Lotus 警告称：“通过 Lumen 的全球网络可见性，Black Lotus Labs 已经确定了 Faceless 代理服务的逻辑图，其中包括一项于 2024 年 3 月第一周开始的活动，该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击”实验室研究人员。

　　研究人员没有具体说明用于破坏华硕路由器的确切方法，但鉴于目标设备型号已停产，攻击者很可能利用了固件中的已知漏洞。

　　一旦恶意软件获得对设备的访问权限，它就会检查是否存在特定的 shell 环境（“/bin/bash”、“/bin/ash”或“/bin/sh”）；否则，它会停止执行。

　　如果检测到兼容的 shell，加载程序会解密、删除并执行名为“.nttpd”的有效负载，该有效负载会创建一个具有版本号（当前为 26）的 PID 文件。

　　随后，恶意软件设置 iptables 规则以丢弃端口 8080 和 80 上的传入 TCP 流量，同时允许来自特定 IP 范围的流量。这种策略可以保护受感染的设备免受外部干扰。

　　最后，恶意软件通过循环访问一组硬编码的 IP 地址来与命令和控制 (C2) 服务器连接，C2 会用指令进行响应。

　　在某些情况下，C2 可能会指示恶意软件检索其他组件，例如扫描端口 80 和 8080 上易受攻击的 Web 服务器的蠕虫模块或代理受感染设备上流量的“.sox”文件。

　　Faceless 是一项网络犯罪代理服务，可通过受感染的设备为仅使用加密货币付款的客户路由网络流量。该服务不使用“了解您的客户”验证流程，任何人都可以使用。

　　为了保护他们的基础设施不被研究人员绘制地图，Faceless 操作员确保每台受感染的设备在感染持续期间仅与一台服务器通信。

　　Black Lotus Labs 报告称抖音代理服务器ip地址，三分之一的感染会持续 50 天以上，而 15% 的感染会在 48 小时内消失。这表明后者受到更好的监控，并且可以快速检测到危害。

　　尽管 TheMoon 和 Faceless 之间存在明显的联系，但这两个操作似乎是独立的网络犯罪生态系统，因为并非所有恶意软件感染都成为 Faceless 代理僵尸网络的一部分。

　　为了防御这些僵尸网络，请使用强管理员密码并将设备的固件升级到解决已知缺陷的最新版本。如果设备已达到 EoL，请将其替换为有效支持的型号。