据悉,软路由器厂商MikroTik公司大批量路由器被滥用,导致了“近年来最大规模之一的僵尸 络犯罪及服务活动”。
根据捷克安全软件公司Avast发布的一项新研究,利用Glupteba僵尸 络以及臭名昭著的TrickBot恶意软件进行的加密货币挖矿活动都是使用同一个命令和控制(C2)服务器分发的。
在捷克安全软件公司Avast于2021年7月观察到的攻击链中,易受攻击的MikroTik路由器的目标是从一个名为bestony[.]club的域中检索第一阶段有效载荷,然后从第二个域globalmoby[.]xyz获取额外的脚本。这两个域名都与同一个IP地址116.202.93[.]14相连,进而又发现了7个在攻击中被活跃使用的域,其中tik.anyget[.]ru被用于向目标主机提供Glupteba恶意软件样本。
Martin Hron说:“当请求访问https://tik.anyget[.]ru时,我被重新定向到https://routers.rip/site/login(该域又再次被Cloudflare代理隐藏),这是一个控制面板,用于编排被控制的MikroTik路由器,页面显示了连接到僵尸 络的设备的实时计数器。”
这一披露也与微软的一份新 告相吻合,该 告揭示了TrickBot恶意软件如何将MikroTik路由器武器化,用来命令远程服务器和控制通信,这增加了运营商使用相同的僵尸 络即服务的可能性。
鉴于这些攻击,用户被建议使用最新的安全补丁更新路由器,设置强大的路由器密码,并从公共端禁用路由器的管理界面。
Martin Hron说:“这也表明,考虑到所有不同的架构和操作系统版本,很难编写和大规模传播恶意软件,攻击者不仅将物联 设备作为运行恶意软件的重大目标,而且利用它们的法律和内置功能将它们设置为代理服务器。这样做是为了匿名化攻击者的痕迹,或者作为DDoS的放大工具。”
最新消息
软路由器厂商MikroTik表示,这个数字在他们2018年发布补丁之前是真实的,补丁发布后,实际受影响的设备数量接近20000台,这些设备仍然运行较旧的软件。此外,并不是所有的电脑都受到僵尸 络的控制,即使运行的是旧软件,许多电脑也都有严密的防火墙。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!