MicroTik ルーターの Botnet-as-a-Service 化：20万台以上が支配下に

Over 200,000 MicroTik Routers Worldwide Are Under the Control of Botnet Malware

2022/03/23 TheHackerNews — MikroTik の脆弱なルーターが大規模に悪用され、サイバー・セキュリティ研究者が近年で最大級の Botnet-as-a-Service の１つと呼ばれる物が形成されている。Avast が発表した新たな調査結果によると、新たな破壊型 Glupteba ボットネットと、TrickBot マルウェアを活用した、暗号通貨マイニング・キャンペーンの全てが、同一の Command and Control (C2) サーバーを使用して配布されたようだ。

Avast の Senior Malware Researcher である Martin Hron は、「この C2 サーバーは、約23万台の脆弱な MikroTik ルータを制御する Botnet-as-a-Service として機能している。現時点では、Mēris ボットネットとの関連性が疑われている」と指摘している。

このボットネットは、MikroTik ルーターの Winbox コンポーネントの、既知の脆弱性 CVE-2018-14847 によりデバイスを侵害し、攻撃者は認証されないリモート管理アクセスを得ることになる。Mēris ボットネットの一部は、2021年9月下旬に運用を開始している。

Martin Hron は、「脆弱性 CVE-2018-14847 は2018年に公表され、MikroTik が修正プログラムを発行したが、このボットネットの操るサイバー犯罪者たちは、これらのルーターのすべてを支配下におき、おそらくサービスとして貸し出すことができる」と述べている。

2021年7月に Avast が観測した攻撃チェーンでは、脆弱な MikroTik ルーターが標的となり、bestony[.]club というドメインから第１段階のペイロードが取得され、それを使って第２ドメイン globalmoby[.]xyz から追加のスクリプトが取得された。

興味深いことに、この２つのドメインは、同じ IP アドレス 116.202.93[.]14 にリンクされ、この攻撃で活発に使用されている、７つのドメインが発見された。そのうちの１つである tik.anyget[.]ru は、Grupteba マルウェア・サンプルを標的のホストに提供するために使用されていた。

Hron は、「URL https://tik.anyget%5B.%5Dru をリクエストすると、https://routers.rip/site/login ドメイン (Cloudflare のプロキシで隠蔽) にリダイレクトされた。このページは、ボットネットに接続されたデバイスの、ライブ・カウンターを表示するものであり、言い換えるなら支配している MikroTik ルーターの制御パネルとなる」と述べている。

しかし、2021年9月上旬に Mēris ボットネットの詳細が公開された後に、この C2 サーバーはスクリプトの提供を停止してから、完全に消滅したと言われている。

また、今回の公開は、MikroTik ルーターをリモート・サーバーとの C2 通信において、TrickBot マルウェアがプロキシとして武器化されたことを明らかにしている。そのことは、Microsoft の新しいレポートと重なるものであり、運営者が同じ Botnet-as-a-Service を使用していた可能性が出てきた。

これらの攻撃を防ぐユーザーには、このルーターに最新のセキュリティ・パッチを適用し、ルーターのパスワードを強固なものに設定し、ルーターの管理インターフェースをパブリック側から無効にすることが推奨される。

Hron は、「また、以前から明らかなように、IoT デバイスはマルウェアの実行を目的とするだけではなく、その蔵機能を利用してプロキシとして設定できるために、魅力的な標的になっている。つまり、攻撃者の痕跡を匿名化することが可能であり、また、DDoS 増幅 ツールとして機能させることも可能である」と述べている。

いろんな ○aaS がありますが、ついに Botnet-as-a-Service まで登場したようです。そのためのインフラとして、約23万台の脆弱な MikroTik ルータが悪用されているわけですが、なかなか深刻な脅威という感じです。その MikroTik ですが、2月23日の「ウクライナで発見されたデータ消去マルウェア：ロシアによる侵攻と連携か？」や、3月17日の「TrickBot による MikroTik ルーターの侵害：C2 サーバー連携のプロキシとして機能させる」、「Microsoft が Trickbot 対策オープンソース・ツールを公表： MikroTik ルーターをスキャン」という感じに、メディアを賑わしているようです。