Các bộ định tuyến dễ bị tổn thương của MikroTik đã bị lạm dụng để tạo thành cái mà các nhà nghiên cứu an ninh mạng gọi là một trong những hoạt động của tội phạm mạng botnet dưới dạng dịch vụ lớn nhất được thấy trong những năm gần đây.
Theo một nghiên cứu mới được công bố bởi Avast, một chiến dịch khai thác tiền điện tử tận dụng mạng botnet Glupteba mới bị gián đoạn cũng như phần mềm độc hại khét tiếng TrickBot đều được phân phối bằng cùng một máy chủ điều khiển (C2).
Nhà nghiên cứu phần mềm độc hại cấp cao của Avast, Martin Hron, cho biết trong một bài viết, có khả năng liên kết nó với mạng botnet Mēris.
Mạng botnet được biết là khai thác một lỗ hổng đã biết trong thành phần Winbox của bộ định tuyến MikroTik (CVE-2018-14847), cho phép những kẻ tấn công có được quyền truy cập quản trị từ xa, chưa được xác thực vào bất kỳ thiết bị bị ảnh hưởng nào. Các phần của mạng botnet Mēris đã bị chìm vào cuối tháng 9 năm 2021.
“Lỗ hổng CVE-2018-14847, được công khai vào năm 2018 và MikroTik đã đưa ra bản sửa lỗi cho phép tội phạm mạng đằng sau mạng botnet này làm nô lệ cho tất cả các bộ định tuyến này và có lẽ cho thuê chúng như một dịch vụ”, Hron nói .
Trong chuỗi tấn công được Avast quan sát vào tháng 7 năm 2021, các bộ định tuyến MikroTik dễ bị tấn công đã được nhắm mục tiêu để truy xuất tải trọng giai đoạn đầu từ một miền có tên bestony[.]câu lạc bộ, sau đó được sử dụng để tìm nạp các tập lệnh bổ sung từ miền thứ hai “globalmoby[.]XYZ.”
Khá thú vị, cả hai miền đều được liên kết với cùng một địa chỉ IP: 116.202.93[.]14, dẫn đến việc phát hiện thêm bảy miền khác được sử dụng tích cực trong các cuộc tấn công, một trong số đó (tik.anyget[.]ru) được sử dụng để cung cấp các mẫu phần mềm độc hại Glupteba cho các máy chủ được nhắm mục tiêu.
“Khi yêu cầu URL https: //tik.anyget[.]ru Tôi đã được chuyển hướng đến miền https://routers.rip/site/login (miền này lại bị ẩn bởi proxy Cloudflare) “, Hron nói.” Đây là bảng điều khiển dành cho việc điều phối các bộ định tuyến MikroTik nô lệ, “với trang hiển thị bộ đếm trực tiếp của các thiết bị được kết nối với mạng botnet.
Nhưng sau khi thông tin chi tiết về mạng botnet Mēris được đưa vào phạm vi công cộng vào đầu tháng 9 năm 2021, máy chủ C2 được cho là đã đột ngột ngừng cung cấp các tập lệnh trước khi biến mất hoàn toàn.
Tiết lộ cũng trùng khớp với một báo cáo mới của Microsoft, trong đó tiết lộ cách phần mềm độc hại TrickBot đã vũ khí hóa các bộ định tuyến MikroTik làm proxy để giao tiếp lệnh và điều khiển với các máy chủ từ xa, làm tăng khả năng các nhà khai thác có thể đã sử dụng cùng một mạng botnet-as- a-dịch vụ.
Trước những cuộc tấn công này, người dùng nên cập nhật bộ định tuyến của họ bằng các bản vá bảo mật mới nhất, thiết lập mật khẩu bộ định tuyến mạnh và vô hiệu hóa giao diện quản trị bộ định tuyến từ phía công khai.
“Nó cũng cho thấy, điều đã khá rõ ràng trong một thời gian, rằng các thiết bị IoT đang bị nhắm mục tiêu mạnh mẽ không chỉ để chạy phần mềm độc hại trên chúng, khó viết và lây lan hàng loạt xét trên tất cả các kiến trúc và phiên bản hệ điều hành khác nhau, mà chỉ để sử dụng Hron nói. “Điều này được thực hiện để ẩn danh các dấu vết của kẻ tấn công hoặc để phục vụ như một công cụ khuếch đại DDoS.”
.
