2SDnjcoK9BL
Уязвимые маршрутизаторы MikroTik использовались в одной из крупнейших за последние несколько лет киберпреступных операций «ботнет как услуга» (botnet-as-a-service), сообщает SecurityLab.
Согласно новому отчету ИБ-компании Avast, в настоящее время уже отключенный ботнет для майнинга криптовалюты, вредонос Glupteba и известное вредоносное ПО TrickBot распространялись с одного и того же C&C-сервера.
C&C-сервер играет роль «ботнета как услуга» и контролирует порядка 230 тыс. уязвимых маршрутизаторов, пояснил старший аналитик Avast Мартин Хрон (Martin Hron).
Ботнет Mēris, эксплуатировал известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018-14847), позволяющую злоумышленникам получать несанкционированный удаленный административный доступ к любому уязвимому устройству.
«Раскрытая в 2018 году уязвимость CVE-2018-14847, для которой MikroTik выпустила исправление, позволяла киберпреступникам захватывать все эти маршрутизаторы и, вероятно, сдавать их в аренду», - пояснил Хрон.
В проанализированной специалистами Avast цепочке атак в июле 2021 года атакованные уязвимые маршрутизаторы MikroTik запрашивали полезную нагрузку первого этапа атаки с домена bestony[.]club, которая затем использовалась для извлечения дополнительных скриптов со второго домена globalmoby[.]xyz.
Оба домена связаны с IP-адресом 116.202.93[.]14, благодаря которому исследователям удалось обнаружить еще семь доменов, активно использовавшихся в атаках. Одни из них, tik.anyget[.]ru, использовался для доставки на атакуемые хосты вредоносного ПО Glupteba.
При запросе URL-адреса https://tik.anyget[.]ru исследователь был перенаправлен на домен https://routers.rip/site/login (который снова скрыт прокси-сервером Cloudflare). Это панель управления для управления взломанными маршрутизаторами MikroTik.
Однако после того, как подробности о ботнете Mēris стали достоянием общественности в начале сентября 2021 года, C&C-сервер внезапно прекратил обслуживать скрипты, а потом и вовсе полностью исчез.
Раскрытие информации также совпадает с новым отчетом Microsoft, в котором показано, как вредоносное ПО TrickBot использовало маршрутизаторы MikroTik для C&C-связи с удаленными серверами, а значит, операторы могли использовать ту же ботсеть, что и сервис.
В инструменте runC, который используется для запуска контейнеров в Docker, Kubernetes и других системах, обнаружены три критические уязвимости - CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881.
После полугодичного затишья операторов Danabot удалось вернуть к жизни инфраструктуру ботнета, разрушенную в ходе международной операции Operation Endgame в мае.
Исследователи из Genians Security Center сообщили о новой кампании кибершпионажа против пользователей Android, связанной с северокорейской группировкой Kimsuky (также известной как APT37 или KONNI).
9-10 декабря 2025 года в инновационном кластере «Ломоносов» пройдёт Открытая конференция ИСП РАН.
Аналитики Sekoia io описали фишинговую кампанию под названием «I Paid Twice», в которой злоумышленники компрометировали учётные записи партнёров на платформах бронирования и рассылали от их имени письма гостиницам и сообщения клиентам через WhatsApp.
Исследователи Mandiant выявили критическую уязвимость в платформе удалённого доступа и обмена файлами Gladinet Triofox.
АНО «Национальный суперкомпьютерный форум», Институт программных систем имени А.
Обновление «Гарда NDR» помогает российским компаниям быстрее выявлять и устранять киберугрозы, снижать нагрузку на аналитиков и повышать эффективность работы центров информационной безопасности.
В День кибериммунитета, 11 ноября, «Лаборатория Касперского» напоминает о том, что меры безопасности могут быть не только реактивными, но и проактивными.
