近日,专家表示,僵尸网络控制的专家MicroTik路由器是近年来最大的网络犯罪活动之一。Avast新发布的研究,Glupteba僵尸网络和臭名昭著的TrickBot恶意软件的加密货币挖掘活动使用相同的命令和控制(C2)分发服务器。Avast高级恶意软件研究员Martin Hron近2.3万人易受攻击MikroTik僵尸网络控制路由器。
使用僵尸网络MikroTik路由器的Winbox组件中的已知漏洞 ( CVE-2018-14847 ),使攻击者能够获得未经身份验证的远程管理访问权限。Mēris2021年9月下旬僵尸网陷入困境。Hron说:“CVE-2018-14847漏洞于2018年公布,MikroTik虽然修复程序已经发布,但犯罪分子也可以利用它来控制路由器。
Avast在2021年7月观察到的攻击链中,易受攻击MikroTik以域名为路由器bestony[.]club目标是中检索的第一梯队,脚本随后用于globalmoby[.]xyz。有趣的是,这两个域都链接到同一个域IP地址:116.202.93[.]14,另外七个积极用于攻击的域被发现,其中一个 (tik.anyget[.]ru) 向目标主机提供 Glupteba 恶意软件样本URL https://tik.anyget[.]ru我被重定向https://routers.rip/site/login(再次被 Cloudflare 代理隐藏),Hron这是一个被奴役的安排MikroTik该页面显示了连接到僵尸网络的实时设备数量。
但2021年9月初 Mēris僵尸网络的详细信息进入公共领域后,据说命令和控制服务器突然停止提供脚本。该披露也与微软的一份新报告一致,该报告显示TrickBot 如何使用恶意软件?MikroTik路由器武器化增加了操作人员使用相同僵尸网络即服务的可能性。
鉴于这些攻击,建议用户使用最新的安全补丁更新路由器,设置强大的路由器密码,并禁止从公共端使用路由器的管理界面。他们的目标不是在物联网设备上运行恶意软件,因为恶意软件不仅难以编写,而且难以大规模传播。Hron 说:这样做是为了隐藏攻击者的踪迹或DDoS攻击工具。