Уязвимые маршрутизаторы MikroTik используются для создания того, что исследователи кибербезопасности называют одной из крупнейших киберпреступных операций «ботнет-как-сервис» за последние годы.
Согласно новому исследованию, опубликованному компанией Avast, кампания по майнингу криптовалют с использованием недавно уничтоженного ботнета Glupteba, а также печально известной вредоносной программы TrickBot распространялись с помощью одного и того же командно-контрольного сервера.
«CnC-сервера продаются на теневом рынке как сервис, контролирующий почти 230 000 уязвимых маршрутизаторов MikroTik» - заявил в отчете старший исследователь вредоносного ПО компании Avast Мартин Хрон, потенциально связывая его с тем, что сейчас называется ботнетом Mēris.
Ботнет использует известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018-14847), позволяющую злоумышленникам получить удаленный административный доступ без аутентификации к любому затронутому устройству. Части ботнета Mēris были поглощены в конце сентября 2021 года.
«Уязвимость CVE-2018-14847, о которой стало известно в 2018 году и для которой MikroTik выпустила исправление, позволила киберпреступникам, стоящим за этим ботнетом, захватить все эти маршрутизаторы и, предположительно, сдавать их в аренду в качестве сервиса» - сказал Хрон.
В цепочке атак, замеченной Avast в июле 2021 года, уязвимые маршрутизаторы MikroTik были использованы для получения полезной нагрузки первого этапа с домена bestony[.]club, который затем использовался для получения дополнительных скриптов со второго домена «globalmoby[.]xyz».
Интересно, что оба домена были связаны с одним и тем же IP-адресом: 116.202.93[.]14, что привело к обнаружению еще семи доменов, активно использовавшихся в атаках, один из которых (tik.anyget[.]ru) использовался для передачи образцов вредоносного ПО Glupteba на целевые узлы.
«При запросе URL https://tik.anyget[.]ru я был перенаправлен на домен https://routers.rip/site/login (который скрыт прокси Cloudflare)» - сообщил Хрон. «Это панель управления для оркестрации захваченных маршрутизаторов MikroTik, причем на странице отображается живой счетчик подключенных к ботнету устройств».
Но после того, как подробности о Mēris стали достоянием общественности в начале сентября 2021 года, CnC-сервер, как сообщается, внезапно перестал обслуживать скрипты, а затем и вовсе исчез.
Раскрытие информации также совпадает с новым отчетом компании Microsoft, в котором было показано, как вредонос TrickBot использовал маршрутизаторы MikroTik в качестве прокси-серверов для командно-контрольной связи с удаленными серверами, что повышает вероятность того, что операторы могли использовать один и тот же ботнет-как-сервис.
В свете этих атак пользователям рекомендуется обновить свои маршрутизаторы последними исправлениями безопасности, установить надежный пароль и отключить доступ к интерфейсу администрирования через публичные сети.
«Ситуация также показывает, что уже давно очевидно, что IoT-устройства становятся мишенью не только для запуска на них вредоносного ПО, которое трудно написать и которое массово распространяется, учитывая все различные архитектуры и версии ОС, но и для того, чтобы просто использовать их легальные встроенные возможности для установки в качестве прокси-серверов» - заявил Хрон. «Это делается либо для анонимизации злоумышленника, либо для использования в качестве инструмента усиления DDoS-атак».
Источник: https://thehackernews.com