Исследователь нашел сервер, контролировавший 230 тысяч уязвимых маршрутизаторов MikroTik25.03.2022 21:31

18 марта 2022 года компания Avast опубликовала отчет, согласно которому два ботнета Mēris и TrickBot использовали один и тот же Command and Control server (C&C-сервер). Данный сервер играл роль botnet-as-a-service («ботнета как услуга»), контролировав порядка 230 тысяч уязвимых маршрутизаторов MikroTik.

f4a73e1c40c7aca94bd35389653d78a6.jpeg

Согласно отчету Avast, сейчас уже отключенный ботнет для майнинга криптовалюты, вредонос Glupteba и вредоносное ПО TrickBot, распространялись с одного C&C-сервера. Другой ботнет Mēris эксплуатировал известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018–14847), позволяющую злоумышленникам получать несанкционированный удаленный административный доступ к любому уязвимому устройству. Уязвимость нашли еще в 2018 году и выпустили патч. Но ее до сих пор используют киберпреступники — новости о подобных инцидентах появляются по сей день. 

9f3a5e73640d59555b1a0da13edabb63.pngМартин Хрон (Martin Hron)

Старший аналитик Avast

«Раскрытая в 2018 году уязвимость CVE-2018–14847, для которой MikroTik выпустила исправление, позволяла киберпреступникам захватывать все эти маршрутизаторы и, вероятно, сдавать их в аренду». 

Специалисты Avast расследовали цепочку атак в июле 2021 года и выяснили, что атакованные через уязвимость маршрутизаторы MikroTik запрашивали полезную нагрузку первого этапа атаки с домена, а для извлечения дополнительных скриптов использовали другой домен. Эти домены связаны с одним IP-адресом. Обнаружив этот адрес, исследователи нашли еще семь доменов, которые злоумышленники использовали в атаках. Один из таких доменов использовался для доставки на атакуемые хосты вредоносного ПО Glupteba. При запросе на его URL-адреса исследователь был перенаправлен на другой домен, скрытый прокси-сервером Cloudflare. Данный адрес представлял собой оснастку для управления взломанными маршрутизаторами MikroTik.

После того как MikroTik публично признала, что ботнет Mēris управляет сетевыми устройствами, взломанными в 2018 году, обслуживающий скрипты C&C-сервер пропал. Кроме отчета Avast, компания Microsoft представила свой отчет, в котором показала, как вредоносное ПО TrickBot использовало маршрутизаторы MikroTik для C&C-связи с удаленными серверами. Но хочется отметить: компания MikroTik выпустила патч для уязвимости CVE-2018–14847, просто на многих устройствах 2018–2019 годов не обновлена прошивка, закрывающая ее.

© Habrahabr.ru