我们擅长商业策略与用户体验的完美结合。
欢迎浏览我们的案例。
近期,专家表示受僵尸网络控制的 MicroTik 路由器是他们近年来看到的最大的网络犯罪活动之一。根据 Avast 发布的一项新研究,Glupteba 僵尸网络以及臭名昭著的 TrickBot 恶意软件的加密货币挖掘活动都使用相同的命令和控制(C2) 服务器进行分发。Avast 的高级恶意软件研究员 Martin Hron 说,“近 230,000 个易受攻击的 MikroTik 路由器受到僵尸网络的控制。”
该僵尸网络利用 MikroTik 路由器的 Winbox 组件中的一个已知漏洞 ( CVE-2018-14847 ),使攻击者能够获得对任何受影响设备的未经身份验证的远程管理访问权限。部分Mēris 僵尸网络于 2021 年 9 月下旬陷入困境。对此,Hron 说:“CVE-2018-14847 漏洞于 2018 年公布,MikroTik 虽然针对该漏洞发布了修复程序,但犯罪分子同样可以利用其达到控制路由器的目的。
Avast 在 2021 年 7 月观察到的攻击链中,易受攻击的 MikroTik 路由器以域名 bestony[.]club 中检索的第一梯队为目标,该脚本随后被用于 globalmoby[.]xyz。有趣的是,这两个域都链接到同一个 IP 地址:116.202.93[.]14,导致发现了另外七个积极用于攻击的域,其中一个 (tik.anyget[.]ru) 是用于向目标主机提供 Glupteba 恶意软件样本。“当请求 URL https://tik.anyget[.]ru 时,我被重定向到 https://routers.rip/site/login(再次被 Cloudflare 代理隐藏),”Hron 说,“这是一个用于编排被奴役的 MikroTik 路由器的控制面板”,该页面显示了连接到僵尸网络的实时设备数。
但在 2021 年 9 月上旬 Mēris 僵尸网络的详细信息进入公共领域后,据说命令和控制服务器突然停止提供脚本。该披露还与微软的一份新报告相吻合,该报告揭示了 TrickBot 恶意软件如何将 MikroTik 路由器武器化,这增加了操作人员使用相同僵尸网络即服务的可能性。
鉴于这些攻击,建议用户使用最新的安全补丁更新他们的路由器,设置强大的路由器密码,并从公共端禁用路由器的管理界面。“他们的目标并不是在物联网设备上运行恶意软件,因为基于不同的架构和操作系统版本不同让恶意软件不仅很难编写也很难大规模传播,”Hron 说,“这样做是为了隐藏攻击者的踪迹或用作 DDoS 攻击的工具。”
(邯郸小程序开发)
