24.03.2022 | 230 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом |
Уязвимые маршрутизаторы MikroTik использовались в одной из крупнейших за последние несколько лет киберпреступных операций «ботнет как услуга» (botnet-as-a-service). Согласно новому отчету ИБ-компании Avast, в настоящее время уже отключенный ботнет для майнинга криптовалюты, вредонос Glupteba и известное вредоносное ПО TrickBot распространялись с одного и того же C&C-сервера. C&C-сервер играет роль «ботнета как услуга» и контролирует порядка 230 тыс. уязвимых маршрутизаторов, пояснил старший аналитик Avast Мартин Хрон (Martin Hron). Ботнет Mēris, эксплуатировал известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018-14847), позволяющую злоумышленникам получать несанкционированный удаленный административный доступ к любому уязвимому устройству. «Раскрытая в 2018 году уязвимость CVE-2018-14847, для которой MikroTik выпустила исправление, позволяла киберпреступникам захватывать все эти маршрутизаторы и, вероятно, сдавать их в аренду», - пояснил Хрон. В проанализированной специалистами Avast цепочке атак в июле 2021 года атакованные уязвимые маршрутизаторы MikroTik запрашивали полезную нагрузку первого этапа атаки с домена bestony[.]club, которая затем использовалась для извлечения дополнительных скриптов со второго домена globalmoby[.]xyz. Оба домена связаны с IP-адресом 116.202.93[.]14, благодаря которому исследователям удалось обнаружить еще семь доменов, активно использовавшихся в атаках. Одни из них, tik.anyget[.]ru, использовался для доставки на атакуемые хосты вредоносного ПО Glupteba. При запросе URL-адреса https://tik.anyget[.]ru исследователь был перенаправлен на домен https://routers.rip/site/login (который снова скрыт прокси-сервером Cloudflare). Это панель управления для управления взломанными маршрутизаторами MikroTik. Однако после того, как подробности о ботнете Mēris стали достоянием общественности в начале сентября 2021 года, C&C-сервер внезапно прекратил обслуживать скрипты, а потом и вовсе полностью исчез. Раскрытие информации также совпадает с новым отчетом Microsoft, в котором показано, как вредоносное ПО TrickBot использовало маршрутизаторы MikroTik для C&C-связи с удаленными серверами, а значит, операторы могли использовать ту же ботсеть, что и сервис. |
Проверить безопасность сайта