18 марта 2022 года компания Avast опубликовала отчет, в котором утверждается, что две бот-сети, Mēris и TrickBot, используют один и тот же командно-контрольный (C&C) сервер. Этот сервер работал как ботнет и контролировал около 230 000 уязвимых маршрутизаторов MikroTik.
Компания Avast сообщила, что ботнет для добычи криптовалюты, который сейчас закрыт, вредоносное ПО Glupteba и вредоносное ПО TrickBot распространялись с одного C&C-сервера. Другой ботнет Mēris использовал известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018-14847), которая позволяла злоумышленникам получить несанкционированный удаленный доступ к управлению любым уязвимым устройством. Уязвимость была обнаружена в 2018 году, после чего был выпущен патч. Однако киберпреступники продолжают его использовать: сообщения о подобных инцидентах продолжают поступать и сегодня.
“Уязвимость CVE-2018-14847, раскрытая в 2018 году, для которой MikroTik выпустила патч, позволила киберпреступникам получить эти маршрутизаторы и, возможно, сдать их в аренду.”
В июле 2021 года компания Avast изучила цепочку атак и обнаружила, что маршрутизаторы MikroTik, атакованные через уязвимость, получали полезную нагрузку для первого этапа атаки с одного домена, а затем использовали другой домен для извлечения дополнительных скриптов. Эти домены связаны с одним и тем же IP-адресом. Обнаружив адрес, исследователи нашли еще семь доменов, которые злоумышленники использовали в своих атаках. Один из этих доменов использовался для доставки вредоносной программы Glupteba на атакованные компьютеры. При запросе URL-адреса исследователь был перенаправлен на другой домен, который был скрыт прокси-сервером Cloudflare. По этому адресу было очень легко управлять взломанными маршрутизаторами MikroTik.
После того как в 2018 году компания MikroTik публично признала, что ботнет Mēris управлял взломанными сетевыми устройствами, C&C-сервер, обслуживающий скрипты, исчез. В дополнение к отчету Avast, компания Microsoft также представила свой собственный отчет, показывающий, как вредоносная программа TrickBot использовала маршрутизаторы MikroTik для связи с удаленными серверами. Но мы хотели бы отметить, что MikroTik выпустила патч для уязвимости CVE-2018-14847, просто на многих устройствах 2018-2019 годов нет обновленной прошивки, закрывающей уязвимость.
