Meer dan 200.000 MicroTik-routers wereldwijd staan ​​onder controle van botnet-malware

Botnet Malware Nachrichten

Kwetsbare routers van MikroTik zijn misbruikt om te vormen wat cybersecurity-onderzoekers een van de grootste botnet-as-a-service cybercriminaliteitsoperaties van de afgelopen jaren hebben genoemd.

Volgens een nieuw onderzoek gepubliceerd door Avast, werd een cryptocurrency-mijncampagne die gebruikmaakte van het nieuw verstoorde Glupteba-botnet en de beruchte TrickBot-malware, allemaal verspreid via dezelfde command-and-control (C2) -server.

“De C2-server dient als een botnet-as-a-service die bijna 230.000 kwetsbare MikroTik-routers beheert”, zegt Martin Hron, senior malware-onderzoeker van Avast. zei in een artikel, mogelijk gekoppeld aan wat nu het Mēris-botnet wordt genoemd.

Het is bekend dat het botnet misbruik maakt van een bekende kwetsbaarheid in de Winbox-component van MikroTik-routers (CVE-2018-14847), waardoor de aanvallers niet-geverifieerde, externe beheerderstoegang tot elk getroffen apparaat kunnen krijgen. Delen van het Mēris-botnet waren verzonken te laat september 2021.

“De CVE-2018-14847-kwetsbaarheid, die in 2018 werd gepubliceerd en waarvoor MikroTik een oplossing uitbracht, stelde de cybercriminelen achter dit botnet in staat om al deze routers tot slaaf te maken en ze vermoedelijk als een service te verhuren”, zei Hron. .

In een aanvalsketen die in juli 2021 door Avast werd waargenomen, waren kwetsbare MikroTik-routers het doelwit om de payload van de eerste fase op te halen van een domein met de naam bestony[.]club, die vervolgens werd gebruikt om extra scripts op te halen van een tweede domein “globalmoby[.]xyz.”

Interessant genoeg waren beide domeinen gekoppeld aan hetzelfde IP-adres: 116.202.93[.]14, wat leidde tot de ontdekking van nog zeven domeinen die actief werden gebruikt bij aanvallen, waarvan er één (tik.anyget[.]ru) werd gebruikt om Glupteba-malwarevoorbeelden aan gerichte hosts te leveren.

“Bij het aanvragen van de URL https://tik.anyget[.]ru Ik werd doorgestuurd naar het https://routers.rip/site/login-domein (dat opnieuw wordt verborgen door de Cloudflare-proxy), “zei Hron. “Dit is een configuratiescherm voor de orkestratie van tot slaaf gemaakte MikroTik-routers,” met de pagina met een live-teller van apparaten die op het botnet zijn aangesloten.

Maar nadat details van het Mēris-botnet begin september 2021 in het publieke domein kwamen, zou de C2-server abrupt zijn gestopt met het aanbieden van scripts voordat hij volledig verdween.

De onthulling valt ook samen met een nieuw rapport van Microsoft, waarin werd onthuld hoe de TrickBot-malware MikroTik-routers heeft gebruikt als proxy’s voor command-and-control-communicatie met de externe servers, waardoor de mogelijkheid wordt vergroot dat de operators hetzelfde botnet-als- hebben gebruikt. een dienst.

In het licht van deze aanvallen wordt het aanbevolen dat gebruikers hun routers updaten met de nieuwste beveiligingspatches, een sterk routerwachtwoord instellen en de beheerdersinterface van de router van de openbare kant uitschakelen.

“Het laat ook zien, wat al geruime tijd duidelijk is, dat IoT-apparaten zwaar worden aangevallen, niet alleen om er malware op uit te voeren, wat moeilijk te schrijven en massaal te verspreiden is gezien alle verschillende architecturen en OS-versies, maar om gewoon te gebruiken hun wettelijke en ingebouwde mogelijkheden om ze in te stellen als volmachten”, zei Hron. “Dit wordt gedaan om de sporen van de aanvaller te anonimiseren of om te dienen als een DDoS-versterkingstool.”

David
Rate author
Hackarizona