上个月,我们报道了一个大规模加密挖掘恶意软件活动,该活动使用先前披露的CIA Vault 7漏洞中披露的漏洞劫持了超过200,000台MikroTik路由器。 现在,Qihoo 360 Netlab的中国安全研究人员发现,在370,000个可能易受攻击的MikroTik路由器中,有超过7,500台设备遭到入侵,导致Socks4代理被恶意攻击,允许攻击者自7月中旬以来主动窃听目标网络流量。 有关该漏洞是永保中发现被利用的MikroTik路由器的任何目录文件中读取(CVE-2018-14847)CIA库7黑客工具,以及另一个MikroTik的Webfig远程代码执行漏洞。
Winbox和Webfig都是RouterOS管理组件,其对应的通信端口为TCP / 8291,TCP / 80和TCP / 8080。Winbox专为Windows用户设计,可以轻松配置从路由器下载某些DLL文件并在系统上执行它们的路由器。
根据研究人员的说法,即使在供应商已经推出安全更新来修补漏洞之后,仍有超过370,000的120万MikroTik路由器仍然容易受到CVE-2018-14847攻击。
Netlab研究人员已经发现恶意软件利用CVE-2018-14847漏洞执行各种恶意活动,包括CoinHive挖掘代码注入,在路由器上静默启用Socks4代理以及监视受害者。
CoinHive挖掘代码注入 -启用Mikrotik RouterOS HTTP代理后,攻击者将所有HTTP代理请求重定向到本地HTTP 403错误页面,该页面为Coinhive的Web挖掘代码注入链接。
“通过这样做,攻击者希望对用户设备上的所有代理流量进行网络挖掘,”研究人员解释说。
“但是攻击者失算的一点是,挖掘代码不能以这种方式工作,因为所有外部网络资源,包括来自网上挖掘所需的coinhive.com的资源,都被攻击者自己设置的代理ACL阻止。”
恶意启用Sock4代理- 在受害者设备上静默启用Socks4端口或TCP / 4153,即使在重新启动(IP更改)后,攻击者也可以通过定期向攻击者的URL报告其最新IP地址来获得对设备的控制权。
研究人员表示,目前,共有239,000个IP地址被确认为恶意启用Socks4代理,最终允许攻击者使用这些受损的Socks4代理连续扫描更多MikroTik RouterOS设备。
窃听受害者 -由于MikroTik RouterOS设备允许用户在路由器上捕获数据包并将其转发到指定的Stream服务器,因此攻击者将来自受感染路由器的流量转发到由它们控制的IP地址。
“目前,共有7.5k MikroTik RouterOS设备IP已被攻击者攻击,他们的TZSP流量正被转发到一些收集的IP地址,”研究人员说。
“我们还注意到SNMP端口161和162也是列表中的首位。值得注意的是,为什么攻击者正在关注普通用户几乎不使用的网络管理协议?他们是否正在尝试监控和捕获一些特殊用户的网络SNMP社区字符串?“
受害者遍布俄罗斯,伊朗,巴西,印度,乌克兰,孟加拉国,印度尼西亚,厄瓜多尔,美国,阿根廷,哥伦比亚,波兰,肯尼亚,伊拉克以及一些欧洲和亚洲国家,俄罗斯受影响最严重。
出于安全原因,Netlab没有向公众分享受害者的IP地址,但表示受影响国家的相关安全实体可以联系该公司以获取受感染IP地址的完整列表。
保护自己的最好方法是PATCH。强烈建议MikroTik RouterOS用户更新他们的设备,并检查HTTP代理,Socks4代理和网络流量捕获功能是否被恶意利用。
领取专属 10元无门槛券
私享最新 技术干货