18 марта 2022 года компания Avast опубликовала отчет, согласно которому два ботнета Mēris и TrickBot использовали один и тот же Command and Control server (C&C-сервер). Данный сервер играл роль botnet-as-a-service («ботнета как услуга»), контролировав порядка 230 тысяч уязвимых маршрутизаторов MikroTik.
Согласно отчету Avast, сейчас уже отключенный ботнет для майнинга криптовалюты, вредонос Glupteba и вредоносное ПО TrickBot, распространялись с одного C&C-сервера. Другой ботнет Mēris эксплуатировал известную уязвимость в компоненте Winbox маршрутизаторов MikroTik (CVE-2018-14847), позволяющую злоумышленникам получать несанкционированный удаленный административный доступ к любому уязвимому устройству. Уязвимость нашли еще в 2018 году и выпустили патч. Но ее до сих пор используют киберпреступники — новости о подобных инцидентах появляются по сей день.
Мартин Хрон (Martin Hron)
Старший аналитик Avast
«Раскрытая в 2018 году уязвимость CVE-2018-14847, для которой MikroTik выпустила исправление, позволяла киберпреступникам захватывать все эти маршрутизаторы и, вероятно, сдавать их в аренду».
Специалисты Avast расследовали цепочку атак в июле 2021 года и выяснили, что атакованные через уязвимость маршрутизаторы MikroTik запрашивали полезную нагрузку первого этапа атаки с домена, а для извлечения дополнительных скриптов использовали другой домен. Эти домены связаны с одним IP-адресом. Обнаружив этот адрес, исследователи нашли еще семь доменов, которые злоумышленники использовали в атаках. Один из таких доменов использовался для доставки на атакуемые хосты вредоносного ПО Glupteba. При запросе на его URL-адреса исследователь был перенаправлен на другой домен, скрытый прокси-сервером Cloudflare. Данный адрес представлял собой оснастку для управления взломанными маршрутизаторами MikroTik.
После того как MikroTik публично признала, что ботнет Mēris управляет сетевыми устройствами, взломанными в 2018 году, обслуживающий скрипты C&C-сервер пропал. Кроме отчета Avast, компания Microsoft представила свой отчет, в котором показала, как вредоносное ПО TrickBot использовало маршрутизаторы MikroTik для C&C-связи с удаленными серверами. Но хочется отметить: компания MikroTik выпустила патч для уязвимости CVE-2018-14847, просто на многих устройствах 2018-2019 годов не обновлена прошивка, закрывающая ее.