全球超過200,000臺MicroTik路由器受到僵尸網(wǎng)絡(luò)惡意軟件的控制
近期,專家表示受僵尸網(wǎng)絡(luò)控制的MicroTik路由器是他們近年來看到的最大的網(wǎng)絡(luò)犯罪活動之一�。根據(jù)Avast發(fā)布的一項新研究,Glupteba僵尸網(wǎng)絡(luò)以及臭名昭著的TrickBot惡意軟件的加密貨幣挖掘活動都使用相同的命令和控制(C2)服務(wù)器進行分發(fā)�����。Avast的高級惡意軟件研究員Martin Hron說����,“近230,000個易受攻擊的MikroTik路由器受到僵尸網(wǎng)絡(luò)的控制。”
該僵尸網(wǎng)絡(luò)利用MikroTik路由器的Winbox組件中的一個已知漏洞 ( CVE-2018-14847 )�,使攻擊者能夠獲得對任何受影響設(shè)備的未經(jīng)身份驗證的遠程管理訪問權(quán)限。部分Mēris僵尸網(wǎng)絡(luò)于2021年9月下旬陷入困境���。對此�����,Hron說:“CVE-2018-14847漏洞于2018年公布���,MikroTik雖然針對該漏洞發(fā)布了修復(fù)程序,但犯罪分子同樣可以利用其達到控制路由器的目的����。
Avast在2021年7月觀察到的攻擊鏈中,易受攻擊的MikroTik路由器以域名bestony[.]club中檢索的第一梯隊為目標(biāo)����,該腳本隨后被用于globalmoby[.]xyz。有趣的是���,這兩個域都鏈接到同一個IP地址:116.202.93[.]14���,導(dǎo)致發(fā)現(xiàn)了另外七個積極用于攻擊的域,其中一個 (tik.anyget[.]ru) 是用于向目標(biāo)主機提供 Glupteba 惡意軟件樣本����。“當(dāng)請求URL https://tik.anyget[.]ru時,我被重定向到https://routers.rip/site/login(再次被 Cloudflare 代理隱藏)����,”Hron說,“這是一個用于編排被奴役的MikroTik路由器的控制面板”��,該頁面顯示了連接到僵尸網(wǎng)絡(luò)的實時設(shè)備數(shù)���。
但在2021年9月上旬 Mēris僵尸網(wǎng)絡(luò)的詳細信息進入公共領(lǐng)域后����,據(jù)說命令和控制服務(wù)器突然停止提供腳本。該披露還與微軟的一份新報告相吻合�,該報告揭示了TrickBot 惡意軟件如何將MikroTik路由器武器化,這增加了操作人員使用相同僵尸網(wǎng)絡(luò)即服務(wù)的可能性���。
鑒于這些攻擊���,建議用戶使用最新的安全補丁更新他們的路由器,設(shè)置強大的路由器密碼���,并從公共端禁用路由器的管理界面��。“他們的目標(biāo)并不是在物聯(lián)網(wǎng)設(shè)備上運行惡意軟件��,因為基于不同的架構(gòu)和操作系統(tǒng)版本不同讓惡意軟件不僅很難編寫也很難大規(guī)模傳播�,”Hron 說�,“這樣做是為了隱藏攻擊者的蹤跡或用作DDoS攻擊的工具。”
參考來源:https://thehackernews.com/2022/03/over-200000-microtik-routers-worldwide.html
文章來源:FreeBuf
在線咨詢
在線咨詢
0371-63319761