![\"Logiciels](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/Plus-de-200-000-routeurs-MicroTik-dans-le-monde-sont.png\" "\\"Logiciels")
<\/div>\n
Les routeurs vuln\u00e9rables de MikroTik ont \u200b\u200b\u200b\u200b\u00e9t\u00e9 utilis\u00e9s \u00e0 mauvais escient pour former ce que les chercheurs en cybers\u00e9curit\u00e9 ont appel\u00e9 l’une des plus grandes op\u00e9rations de cybercriminalit\u00e9 botnet-as-a-service de ces derni\u00e8res ann\u00e9es. <\/p>\n
Selon une nouvelle \u00e9tude publi\u00e9e par Avast, une campagne d’extraction de crypto-monnaie exploitant le nouveau botnet Glupteba perturb\u00e9 ainsi que le tristement c\u00e9l\u00e8bre malware TrickBot ont tous \u00e9t\u00e9 distribu\u00e9s \u00e0 l’aide du m\u00eame serveur de commande et de contr\u00f4le (C2).<\/p>\n
“Le serveur C2 sert de botnet en tant que service contr\u00f4lant pr\u00e8s de 230 000 routeurs MikroTik vuln\u00e9rables”, a d\u00e9clar\u00e9 Martin Hron, chercheur principal sur les logiciels malveillants chez Avast. mentionn\u00e9<\/a> dans un article, le reliant potentiellement \u00e0 ce qu’on appelle maintenant le botnet M\u0113ris.<\/p>\n Le botnet est connu pour exploiter une vuln\u00e9rabilit\u00e9 connue dans le composant Winbox des routeurs MikroTik (CVE-2018-14847), permettant aux attaquants d’obtenir un acc\u00e8s administratif \u00e0 distance non authentifi\u00e9 \u00e0 tout appareil affect\u00e9. Certaines parties du botnet M\u0113ris \u00e9taient englouti<\/a> en retard Septembre 2021<\/a>.<\/p>\n “La vuln\u00e9rabilit\u00e9 CVE-2018-14847, qui a \u00e9t\u00e9 rendue publique en 2018 et pour laquelle MikroTik a publi\u00e9 un correctif, a permis aux cybercriminels derri\u00e8re ce botnet d’asservir tous ces routeurs et de les louer vraisemblablement en tant que service”, a d\u00e9clar\u00e9 Hron. .<\/p>\n Dans la cha\u00eene d’attaque observ\u00e9e par Avast en juillet 2021, les routeurs MikroTik vuln\u00e9rables ont \u00e9t\u00e9 cibl\u00e9s pour r\u00e9cup\u00e9rer la charge utile de la premi\u00e8re \u00e9tape d’un domaine nomm\u00e9 bestony[.]club, qui a ensuite \u00e9t\u00e9 utilis\u00e9 pour r\u00e9cup\u00e9rer des scripts suppl\u00e9mentaires \u00e0 partir d’un deuxi\u00e8me domaine “globalmoby[.]xyz.”<\/p>\n Assez int\u00e9ressant, les deux domaines \u00e9taient li\u00e9s \u00e0 la m\u00eame adresse IP\u00a0: 116.202.93[.]14, conduisant \u00e0 la d\u00e9couverte de sept autres domaines activement utilis\u00e9s dans des attaques, dont l’un (tik.anyget[.]ru) a \u00e9t\u00e9 utilis\u00e9 pour fournir des \u00e9chantillons de logiciels malveillants Glupteba aux h\u00f4tes cibl\u00e9s.<\/p>\n “Lorsque vous demandez l’URL https:\/\/tik.anyget[.]ru, j’ai \u00e9t\u00e9 redirig\u00e9 vers le domaine https:\/\/routers.rip\/site\/login (qui est \u00e0 nouveau masqu\u00e9 par le proxy Cloudflare)”, a d\u00e9clar\u00e9 Hron. “Il s’agit d’un panneau de contr\u00f4le pour l’orchestration des routeurs MikroTik asservis”, avec le page affichant un compteur en direct des appareils connect\u00e9s au botnet.<\/p>\n Mais apr\u00e8s que les d\u00e9tails du botnet M\u0113ris soient entr\u00e9s dans le domaine public d\u00e9but septembre 2021, le serveur C2 aurait brusquement cess\u00e9 de servir des scripts avant de dispara\u00eetre compl\u00e8tement.<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Alertes-CISA-sur-les-failles-activement-exploitees-dans-la-plate-forme.png\")
<\/a><\/div>\n