0
0
Os roteadores MikroTik estão sendo comprometidos para servir como proxies de comunicação para o malware Trickbot, para permitir que dispositivos afetados pelo Trickbot se comuniquem com seu servidor C2 de uma maneira que os sistemas de defesa de rede padrão não detectem, descobriram os pesquisadores da Microsoft.
Roteadores MikroTik sob ataque
Trickbot é um trojan modular que existe desde 2016 e é frequentemente usado por cibercriminosos para fornecer ransomware ou outros malwares.
Tentativas anteriores de aleijar a botnet Trickbot foram apenas parcialmente bem sucedidas, então a botnet continua. Seus controladores também estão constantemente tentando novos truques para permitir que o malware persista em sistemas infectados e mantenha a comunicação com servidores C2 ininterruptamente.
Seu truque mais recente é obter controle sobre roteadores MikroTik – seja testando senhas padrão, lançando ataques de força bruta (com senhas exclusivas que provavelmente foram colhidas de outros dispositivos MikroTik) ou explorando cve-2018-14847 – e mantê-lo alterando a senha do dispositivo afetado.
Os roteadores comprometidos são então usados para criar uma linha de comunicação entre o dispositivo infectado pelo Trickbot e os servidores Trickbot C2: os roteadores recebem tráfego do dispositivo infectado pelo Trickbot via porta 449, redirecionam-no para a porta 80 e enviam-no daquela porta para o servidor de comando e controle.
Detecção e remediação
Ter seus roteadores MikroTik comprometidos apenas para servir como proxies de comunicação pode parecer um problema muito menor do que eles serem sequestrados por cryptojacking, por interceptar tráfego e servir sites e anúncios maliciosos, ou para participar de ataques DDoS.
No entanto, consumidores e organizações devem ter em mente que uma mudança para qualquer um desses pode ser feita por invasores a qualquer momento.
Para ajudar usuários e organizações (experientes em tecnologia) a descobrir se seus dispositivos MicroTik foram comprometidos, os pesquisadores da Microsoft lançaram uma ferramenta forense de código aberto que permite que eles procurem por propriedades suspeitas e pontos de segurança fracos que precisam ser corrigidos no roteador.
Eles também delinearam algumas medidas de detecção e remediação que as organizações podem tomar para limpar dispositivos infectados e medidas que podem tomar para prevenir infecções futuras.
FONTE: HELPNET SECURITY