Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

230 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом

24/03/22

MikroTik

Уязвимые маршрутизаторы MikroTik использовались в одной из крупнейших за последние несколько лет киберпреступных операций «ботнет как услуга» (botnet-as-a-service).

Согласно новому отчету ИБ-компании Avast, в настоящее время уже отключенный ботнет для майнинга криптовалюты, вредонос Glupteba и известное вредоносное ПО TrickBot распространялись с одного и того же C&C-сервера.

C&C-сервер играет роль «ботнета как услуга» и контролирует порядка 230 тыс. уязвимых маршрутизаторов, пояснил старший аналитик Avast Мартин Хрон (Martin Hron).

Ботнет Mēris, эксплуатировал известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018-14847), позволяющую злоумышленникам получать несанкционированный удаленный административный доступ к любому уязвимому устройству.

«Раскрытая в 2018 году уязвимость CVE-2018-14847, для которой MikroTik выпустила исправление, позволяла киберпреступникам захватывать все эти маршрутизаторы и, вероятно, сдавать их в аренду», - пояснил Хрон.

В проанализированной специалистами Avast цепочке атак в июле 2021 года атакованные уязвимые маршрутизаторы MikroTik запрашивали полезную нагрузку первого этапа атаки с домена bestony[.]club, которая затем использовалась для извлечения дополнительных скриптов со второго домена globalmoby[.]xyz.

Оба домена связаны с IP-адресом 116.202.93[.]14, благодаря которому исследователям удалось обнаружить еще семь доменов, активно использовавшихся в атаках. Одни из них, tik.anyget[.]ru, использовался для доставки на атакуемые хосты вредоносного ПО Glupteba.

При запросе URL-адреса https://tik.anyget[.]ru исследователь был перенаправлен на домен https://routers.rip/site/login (который снова скрыт прокси-сервером Cloudflare). Это панель управления для управления взломанными маршрутизаторами MikroTik.

Однако после того, как подробности о ботнете Mēris стали достоянием общественности в начале сентября 2021 года, C&C-сервер внезапно прекратил обслуживать скрипты, а потом и вовсе полностью исчез.

Раскрытие информации также совпадает с новым отчетом Microsoft, в котором показано, как вредоносное ПО TrickBot использовало маршрутизаторы MikroTik для C&C-связи с удаленными серверами, а значит, операторы могли использовать ту же ботсеть, что и сервис.

Темы:ПреступленияботнетмаршрутизаторыAvastMikroTik

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...