Malware TrickBot que abusa de los enrutadores MikroTik como servidores proxy para comando y control

TrickBot Malware misbruikt MikroTik-routers als proxy's voor Command-and-Control Noticias

Microsoft detalló el miércoles una técnica no descubierta previamente puesta en uso por el malware TrickBot que implica el uso de dispositivos de Internet de las cosas (IoT) comprometidos como intermediarios para establecer comunicaciones con los servidores de comando y control (C2).

«Al usar enrutadores MikroTik como servidores proxy para sus servidores C2 y redirigir el tráfico a través de puertos no estándar, TrickBot agrega otra capa de persistencia que ayuda a las direcciones IP maliciosas a evadir la detección por parte de los sistemas de seguridad estándar», dijo el equipo de investigación de Microsoft Defender for IoT y Threat Intelligence Center ( MTIC) dijo.

TrickBot, que surgió como un troyano bancario en 2016, se ha convertido en una amenaza sofisticada y persistente, con su arquitectura modular que le permite adaptar sus tácticas para adaptarse a diferentes redes, entornos y dispositivos, así como ofrecer acceso como servicio. para cargas útiles de próxima etapa como el ransomware Conti.

La expansión de las capacidades de TrickBot se produce en medio de informes de que su infraestructura se desconecta, incluso cuando la botnet ha refinado continuamente sus características para hacer que su marco de ataque sea duradero, evadir la ingeniería inversa y mantener la estabilidad de sus servidores C2.

Específicamente, el nuevo método identificado por MSTIC implica aprovechar dispositivos IoT pirateados, como enrutadores de MikroTik, para «crear una línea de comunicación entre el dispositivo afectado por TrickBot y el servidor C2».

Esto también implica irrumpir en los enrutadores mediante el uso de una combinación de métodos, a saber, contraseñas predeterminadas, ataques de fuerza bruta o explotar una falla ahora parcheada en MikroTik RouterOS (CVE-2018-14847), seguido de cambiar la contraseña del enrutador para mantener el acceso.

En el siguiente paso, los atacantes luego asunto un comando de traducción de direcciones de red (NAT) que está diseñado para redirigir el tráfico entre los puertos 449 y 80 en el enrutador, estableciendo una ruta para que los hosts infectados con TrickBot se comuniquen con el servidor C2.

«A medida que las soluciones de seguridad para los dispositivos informáticos convencionales continúan evolucionando y mejorando, los atacantes explorarán formas alternativas de comprometer las redes de destino», dijeron los investigadores. «Los intentos de ataque contra enrutadores y otros dispositivos IoT no son nuevos y, al no administrarse, pueden convertirse fácilmente en los eslabones más débiles de la red».

David
Rate author
Hackarizona