近期,專家表示受殭屍網絡控制的MicroTik路由器是他們近年來看到的最大的網絡犯罪活動之一。根據Avast發布的一項新研究,Glupteba殭屍網絡以及臭名昭著的TrickBot惡意軟件的加密貨幣挖掘活動都使用相同的命令和控制(C2)服務器進行分發。Avast的高級惡意軟件研究員Martin Hron說,「近230,000個易受攻擊的MikroTik路由器受到殭屍網絡的控制。」
該殭屍網絡利用MikroTik路由器的Winbox組件中的一個已知漏洞 ( CVE-2018-14847 ),使攻擊者能夠獲得對任何受影響設備的未經身份驗證的遠程管理訪問權限。部分Mēris殭屍網絡於2021年9月下旬陷入困境。對此,Hron說:「CVE-2018-14847漏洞於2018年公布,MikroTik雖然針對該漏洞發布了修復程序,但犯罪分子同樣可以利用其達到控制路由器的目的。
Avast在2021年7月觀察到的攻擊鏈中,易受攻擊的MikroTik路由器以域名bestony[.]club中檢索的第一梯隊為目標,該腳本隨後被用於globalmoby[.]xyz。有趣的是,這兩個域都鏈接到同一個IP地址:116.202.93[.]14,導致發現了另外七個積極用於攻擊的域,其中一個 (tik.anyget[.]ru) 是用於向目標主機提供 Glupteba 惡意軟件樣本。「當請求URL https://tik.anyget[.]ru時,我被重定向到https://routers.rip/site/login(再次被 Cloudflare 代理隱藏),」Hron說,「這是一個用於編排被奴役的MikroTik路由器的控制面板」,該頁面顯示了連接到殭屍網絡的實時設備數。
但在2021年9月上旬 Mēris殭屍網絡的詳細信息進入公共領域後,據說命令和控制服務器突然停止提供腳本。該披露還與微軟的一份新報告相吻合,該報告揭示了TrickBot 惡意軟件如何將MikroTik路由器武器化,這增加了操作人員使用相同殭屍網絡即服務的可能性。
鑑於這些攻擊,建議用戶使用最新的安全補丁更新他們的路由器,設置強大的路由器密碼,並從公共端禁用路由器的管理界面。「他們的目標並不是在物聯網設備上運行惡意軟件,因為基於不同的架構和操作系統版本不同讓惡意軟件不僅很難編寫也很難大規模傳播,」Hron 說,「這樣做是為了隱藏攻擊者的蹤跡或用作DDoS攻擊的工具。」
參考來源
https://thehackernews.com/2022/03/over-200000-microtik-routers-worldwide.html
精彩推薦
留言列表