Исследователь компании Avast Мартин Хрон опубликовал статью о компрометации и последующем использовании маршрутизаторов Mikrotik в рамках схемы "ботнет как услуга". По словам Хрона, этот ботнет использовался для нескольких вредоносных кампаний с 2018 года. Он также рассказывает об использовании Trickbot взломанных маршрутизаторов Mikrotik и других сетевых устройств в качестве обратных прокси-серверов для командных и управляющих серверов Trickbot. Хрон не уточняет, использовала ли Trickbot предполагаемую бот-сеть как услугу, или они получили доступ к маршрутизаторам отдельно.
Trickbot
Вероятно, все началось еще в 2018 году,когда латвийская компания MikroTik публично объявила, что исправила и выпустила обновление для своих очень известных и широко используемых маршрутизаторов, исправляющее уязвимость CVE-2018-14847. Эта уязвимость позволяла любому человеку буквально загрузить базу данных пользователей и легко декодировать пароли с устройства удаленно, используя всего несколько пакетов через открытый административный протокол TCP-порт 8291. Планка была достаточно низкой для того, чтобы любой мог воспользоваться ею, и никакая сила не смогла бы подтолкнуть пользователей к обновлению прошивки. Поэтому результат был ожидаемым: Киберпреступники начали использовать эту возможность.
Indicators of Compromise
IPv4
- 45.121.237.196
- 98.142.187.233
- 31.14.40.116
- 45.89.125.253
- 185.94.172.15
- 185.10.68.16
- 102.164.208.44
- 5.181.83.203
- 71.42.188.85
- 31.14.40.207
- 179.42.137.111
- 186.225.119.170
- 185.244.150.26
- 190.151.10.114
- 109.196.148.123
- 195.123.212.17
- 31.14.40.173
- 88.119.170.242
- 136.228.131.236
- 103.145.13.31
- 96.9.77.56
- 188.137.76.235
- 216.166.148.187
- 45.5.152.39
- 36.89.191.119
- 170.130.55.84
- 200.5.37.81
- 96.88.45.25
- 178.254.161.250
- 192.162.238.186
- 45.11.183.152
- 185.212.170.250
- 103.124.145.98
- 97.83.40.67
- 23.106.124.76
- 122.2.28.70
- 91.237.161.87
- 31.14.40.107
- 77.247.110.57
- 116.202.93.14
- 155.12.12.50
- 181.224.251.4
- 38.110.103.43
- 38.110.100.242
Domains
- ciskotik.com
- motinkon.co
- bestony.club
- massgames.space
- widechanges.best
- weirdgames.info
- globalmoby.xyz
- specialword.xyz
- portgame.website
- strtz.site
- myfrance.xyz
- routers.rip
- tik.anyget.ru
SSL Certificate SHA-1
- 03f95249c0e2629bbf521c0d34cee92549fb7ecc
- 3e447bdb51573cac4024bbb8b60986b8e2b396df
- 50fdfd4e2c57eaf7c9cd3f614aa240011bb8df02
- a0ddbc13ab3eb1d5219d9b539dd607fbe596d140
- b521a816d597b167f660a5cb202776ec3c9d3b02
- bea4d7912b9b26a92343eb865c614365b257a5d1
- e7743fc4a488dd9bb24ffc381daea9a54bc7d1da
SHA256
- a0b07c09e5785098e6b660f93097f931a60b710e1cf16ac554f10476084bffcb