Croc

30 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом

30 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом 30 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом 30 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом
23.03.2022

Уязвимые маршрутизаторы MikroTik использовались в одной из крупнейших за последние несколько лет киберпреступных операций «ботнет как услуга» (botnet-as-a-service), сообщает SecurityLab.

Согласно новому отчету ИБ-компании Avast, в настоящее время уже отключенный ботнет для майнинга криптовалюты, вредонос Glupteba и известное вредоносное ПО TrickBot распространялись с одного и того же C&C-сервера.

C&C-сервер играет роль «ботнета как услуга» и контролирует порядка 230 тыс. уязвимых маршрутизаторов, пояснил старший аналитик Avast Мартин Хрон (Martin Hron).

Ботнет Mēris, эксплуатировал известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018-14847), позволяющую злоумышленникам получать несанкционированный удаленный административный доступ к любому уязвимому устройству.

«Раскрытая в 2018 году уязвимость CVE-2018-14847, для которой MikroTik выпустила исправление, позволяла киберпреступникам захватывать все эти маршрутизаторы и, вероятно, сдавать их в аренду», - пояснил Хрон.

В проанализированной специалистами Avast цепочке атак в июле 2021 года атакованные уязвимые маршрутизаторы MikroTik запрашивали полезную нагрузку первого этапа атаки с домена bestony[.]club, которая затем использовалась для извлечения дополнительных скриптов со второго домена globalmoby[.]xyz.

Оба домена связаны с IP-адресом 116.202.93[.]14, благодаря которому исследователям удалось обнаружить еще семь доменов, активно использовавшихся в атаках. Одни из них, tik.anyget[.]ru, использовался для доставки на атакуемые хосты вредоносного ПО Glupteba.

При запросе URL-адреса https://tik.anyget[.]ru исследователь был перенаправлен на домен https://routers.rip/site/login (который снова скрыт прокси-сервером Cloudflare). Это панель управления для управления взломанными маршрутизаторами MikroTik.

Однако после того, как подробности о ботнете Mēris стали достоянием общественности в начале сентября 2021 года, C&C-сервер внезапно прекратил обслуживать скрипты, а потом и вовсе полностью исчез.

Раскрытие информации также совпадает с новым отчетом Microsoft, в котором показано, как вредоносное ПО TrickBot использовало маршрутизаторы MikroTik для C&C-связи с удаленными серверами, а значит, операторы могли использовать ту же ботсеть, что и сервис.


Комментарии 0


Назад