数千台MikroTik路由器的僵尸网络在Glupteba、TrickBot活动中被滥用

来自MikroTik的易受攻击路由器被滥用，形成了网络安全研究人员称之为近年来规模最大的僵尸网络攻击网络犯罪行动之一。

根据Avast发布的一项新研究，利用新破坏的Glupteba僵尸网络以及臭名昭著的TrickBot恶意软件的加密货币挖掘活动都是使用同一个命令和控制（C2）服务器分发的。

Avast的高级恶意软件研究人员Martin Hron在一篇文章中说：“C2服务器作为一个僵尸网络即服务，控制着近23万个易受攻击的MikroTik路由器。”这可能与现在所谓的Mēris僵尸网络有关。

The botnet is known to exploit a known vulnerability in the Winbox component of MikroTik routers (CVE-2018-14847), enabling the attackers to gain unauthenticated, remote administrative access to any affected device. Parts of the Mēris botnet were sinkholed in late September 2021.

“CVE-2018-14847漏洞于2018年公布，MikroTik为此发布了修复程序，允许这个僵尸网络背后的网络罪犯奴役所有这些路由器，并可能将它们作为服务出租，”赫隆说。

在2021年7月由AVAST观察到的攻击链中，脆弱的MikroTik路由器目标是从名为BestNy[]的域检索第一级有效载荷。club，然后用于从第二个域“globalmoby[.]获取其他脚本xyz。"

有趣的是，这两个域名都链接到同一个IP地址：116.202.93[。]14，发现了另外七个活跃在攻击中的域，其中一个（tik.anyget[.]ru）用于向目标主机提供Glupteba恶意软件样本。

“请求URL时https://tik.anyget[ru I被重新定向到https://routers.rip/site/login“域名（它再次被Cloudflare代理隐藏），”赫隆说这是一个控制面板，用于协调被奴役的MikroTik路由器，“页面显示连接到僵尸网络的设备的实时计数器。

但是在2021年9月初M.RIS僵尸网络进入公共领域的细节之后，据说C2服务器在完全消失之前突然停止了服务脚本。

这一披露还与微软的一份新报告相吻合，该报告披露了TrickBot恶意软件如何将MikroTik路由器武器化，作为与远程服务器进行命令和控制通信的代理，增加了运营商可能使用相同的僵尸网络即服务的可能性。

鉴于这些攻击，建议用户使用最新的安全补丁更新路由器，设置强大的路由器密码，并从公共端禁用路由器的管理界面。

“这还表明，一段时间以来已经非常明显的一点是，物联网设备受到严重攻击，不仅是为了在其上运行恶意软件（考虑到所有不同的体系结构和操作系统版本，很难大规模编写和传播恶意软件），而且是为了简单地使用其法律和内置功能将其设置为代理，”赫隆说。“这样做是为了匿名攻击者的跟踪，或作为DDoS放大工具。”