TrickBot начал использовать скомпрометированные IoT-устройства | it network

TrickBot начал использовать скомпрометированные IoT-устройства в качестве прокси для C2

По словам MSTIC (Центра анализа угроз Microsoft), недавно сообщивших об этом нововведении, для этого юзают скомпрометированные роутеры MikroTik. Трафик на такие девайсы идет через нестандартные порты, что позволяет TrickBot избегать обнаружения стандартными системами безопасности.

Компрометация маршрутизаторов происходит с использованием комбинации методов, а именно проверки паролей по умолчанию, банального брутфорса и эксплуатации CVE-2018-14847, исправленной уязвимости в RouterOS. После вредонос меняет пароль доступа к админке для сохранения доступа к взломанным девайсам. Далее вредонос редиректит трафик между 449 и 80 портами, создавая таким образом тоннель связи зараженных девайсов и C2.

Сам TrickBot дебютировал как банковский троян в далеком 2016 году и в дальнейшем благодаря модульной архитектуре, позволяющей адаптироваться к различным сетям/девайсам, превратился в сложный и устойчивый вредонос. Его операторы также продавали доступ к корпоративным сетям и заргузку на зараженные машины различных пейлодов, вроде рансомвари Conti. Что интересно, на текущий момент улучшение функционала ботнета происходят на фоне сообщений о переходе инфраструктуры TrickBot в автономный режим (из-за объединения с Conti).