鑽石舞台

據悉，軟路由器廠商MikroTik公司大批量路由器被濫用，導致了「近年來最大規模之一的殭屍網絡犯罪及服務活動」。

根據捷克安全軟件公司Avast發布的一項新研究，利用Glupteba殭屍網絡以及臭名昭著的TrickBot惡意軟件進行的加密貨幣挖礦活動都是使用同一個命令和控制（C2）服務器分發的。

捷克安全軟件公司Avast的高級惡意軟件研究員Martin Hron在一篇文章中說：「C2服務器充當殭屍網絡即服務，控制着近230000台易受攻擊的MikroTik路由器，這可能與現在所謂的Mēris殭屍網絡有關。」

據了解，該殭屍網絡利用了MikroTik路由器Winbox組件中的一個已知漏洞CVE-2018-14847，使攻擊者能夠對任何受影響的設備進行未經驗證的遠程管理訪問。2021年9月下旬，部分Mēris殭屍網絡被摧毀。

Martin Hron表示：CVE-2018-14847漏洞於2018年被公布，它使這個殭屍網絡背後的網絡犯罪分子能夠控制這些路由器，並將它們作為一種服務進行出租，MikroTik為此發布了一個修復程序。

在捷克安全軟件公司Avast於2021年7月觀察到的攻擊鏈中，易受攻擊的MikroTik路由器的目標是從一個名為bestony[.]club的域中檢索第一階段有效載荷，然後從第二個域globalmoby[.]xyz獲取額外的腳本。這兩個域名都與同一個IP地址116.202.93[.]14相連，進而又發現了7個在攻擊中被活躍使用的域，其中tik.anyget[.]ru被用於向目標主機提供Glupteba惡意軟件樣本。

Martin Hron說：「當請求訪問https://tik.anyget[.]ru時，我被重新定向到https://routers.rip/site/login（該域又再次被Cloudflare代理隱藏），這是一個控制面板，用於編排被控制的MikroTik路由器，頁面顯示了連接到殭屍網絡的設備的實時計數器。」

但是據說在2021年9月初關於Mēris殭屍網絡的細節進入公眾領域之後，C2服務器突然停止提供腳本，然後完全消失。

這一披露也與微軟的一份新報告相吻合，該報告揭示了TrickBot惡意軟件如何將MikroTik路由器武器化，用來命令遠程服務器和控制通信，這增加了運營商使用相同的殭屍網絡即服務的可能性。

鑑於這些攻擊，用戶被建議使用最新的安全補丁更新路由器，設置強大的路由器密碼，並從公共端禁用路由器的管理界面。

Martin Hron說：「這也表明，考慮到所有不同的架構和操作系統版本，很難編寫和大規模傳播惡意軟件，攻擊者不僅將物聯網設備作為運行惡意軟件的重大目標，而且利用它們的法律和內置功能將它們設置為代理服務器。這樣做是為了匿名化攻擊者的痕跡，或者作為DDoS的放大工具。」