erid 2SDnje4KwUm

30 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом

23.03.2022
30 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом

Уязвимые маршрутизаторы MikroTik использовались в одной из крупнейших за последние несколько лет киберпреступных операций «ботнет как услуга» (botnet-as-a-service), сообщает SecurityLab.

Согласно новому отчету ИБ-компании Avast, в настоящее время уже отключенный ботнет для майнинга криптовалюты, вредонос Glupteba и известное вредоносное ПО TrickBot распространялись с одного и того же C&C-сервера.

C&C-сервер играет роль «ботнета как услуга» и контролирует порядка 230 тыс. уязвимых маршрутизаторов, пояснил старший аналитик Avast Мартин Хрон (Martin Hron).

Ботнет Mēris, эксплуатировал известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018-14847), позволяющую злоумышленникам получать несанкционированный удаленный административный доступ к любому уязвимому устройству.

«Раскрытая в 2018 году уязвимость CVE-2018-14847, для которой MikroTik выпустила исправление, позволяла киберпреступникам захватывать все эти маршрутизаторы и, вероятно, сдавать их в аренду», - пояснил Хрон.

В проанализированной специалистами Avast цепочке атак в июле 2021 года атакованные уязвимые маршрутизаторы MikroTik запрашивали полезную нагрузку первого этапа атаки с домена bestony[.]club, которая затем использовалась для извлечения дополнительных скриптов со второго домена globalmoby[.]xyz.

Оба домена связаны с IP-адресом 116.202.93[.]14, благодаря которому исследователям удалось обнаружить еще семь доменов, активно использовавшихся в атаках. Одни из них, tik.anyget[.]ru, использовался для доставки на атакуемые хосты вредоносного ПО Glupteba.

При запросе URL-адреса https://tik.anyget[.]ru исследователь был перенаправлен на домен https://routers.rip/site/login (который снова скрыт прокси-сервером Cloudflare). Это панель управления для управления взломанными маршрутизаторами MikroTik.

Однако после того, как подробности о ботнете Mēris стали достоянием общественности в начале сентября 2021 года, C&C-сервер внезапно прекратил обслуживать скрипты, а потом и вовсе полностью исчез.

Раскрытие информации также совпадает с новым отчетом Microsoft, в котором показано, как вредоносное ПО TrickBot использовало маршрутизаторы MikroTik для C&C-связи с удаленными серверами, а значит, операторы могли использовать ту же ботсеть, что и сервис.

Популярные материалы