最近,专家表示,受僵尸网络控制的MicroTik路由器是他们近年来看到的最大的网络犯罪活动之一。根据Avast发布的一项新研究,Glupteba僵尸网络以及臭名昭著的TrickBot恶意软件的加密货币挖矿活动都使用相同的命令和控制(C2)服务器进行分发。“近230,000个易受攻击的MikroTik路由器处于僵尸网络的控制之下,”Avast高级恶意软件研究员MartinHron说。该僵尸网络利用了MikroTik路由器Winbox组件中的一个已知漏洞(CVE-2018-14847),使攻击者能够获得对任何受影响设备的未经身份验证的远程管理访问权限。部分Mēris僵尸网络在2021年9月下旬遭到破坏。对此,Hron表示:“CVE-2018-14847漏洞于2018年公布。虽然MikroTik发布了针对此漏洞的修复程序,但犯罪分子也可以利用它来达到目的Avast在2021年7月观察到的攻击链中,一个易受攻击的MikroTik路由器针对从域bestony[.]club中检索到的第一梯队,然后在globalmoby[.]xyz上使用该脚本。有趣的是,这两个域链接到同一个IP地址:116.202.93[.]14,导致发现另外七个积极用于攻击的域,其中一个域(tik.anyget[.]ru)用于将Glupteba恶意软件样本传送到目标主人。”当请求URLhttps://tik.anyget[.]ru时,我被重定向到https://routers.rip/site/login(再次被Cloudflare代理隐藏),”Hron说,“这是一个控件被奴役的MikroTik路由器面板”,显示连接到僵尸网络的实时设备数量。但在Mēris僵尸网络的详细信息于2021年9月初进入公共领域后,据报道,命令和控制服务器突然停止提供脚本服务。披露还与微软的一份新报告相吻合,该报告揭示了TrickBot恶意软件如何将MikroTik路由器武器化,增加了运营商使用相同的僵尸网络即服务的可能性。鉴于这些攻击,建议用户使用最新的安全补丁更新他们的路由器,设置强路由器密码,并从公共端禁用路由器的管理界面。“他们的目标不是在物联网设备上运行恶意软件,因为基于不同的架构和操作系统版本,恶意软件不仅难以编写,而且难以大规模传播,”Hron说。“这是为了隐藏攻击。犯罪者的踪迹或作为DDoS攻击的工具。”
