安全研究人员发现了一个针对MikroTik路由器的大规模加密劫持活动

安全研究人员发现了一个针对MikroTik路由器的大规模加密劫持活动，并改变了他们的配置，在用户网络流量的某些部分注入了Coinhive浏览器内加密货币挖掘脚本的副本。

该活动本周似乎已经开始，并且在第一阶段主要活跃在巴西，但后来开始瞄准全世界的MikroTik路由器。

第一个发现攻击的是一位巴西研究员，他在推特上以MalwareHunterBR的名字命名，但是随着攻击的规模越来越大，越来越多的路由器受到了影响，这也引起了Simon Kenin的注意，他是Trustwave的SpiderLabs部门的安全研究员。

对另一个大量开采@mikrotik_com设备（https://t.co/4MxQbnNStA） hxxp：//170.79.26.28/ CoinHive.Anonymous（ 'hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3'，#coinhive pic.twitter.com/Nr8MA0TbzY - MalwareHunterBR（@MalwareHunterBR）2018年7月30日

在Trustwave与Bleeping Computer共享的一份报告中，Kenin表示，这次活动背后的黑客（或黑客）似乎已经在攻击的第一阶段中破坏了巴西约72,000台MikroTik路由器。

Kenin表示，攻击者在4月份发现的MikroTik路由器的Winbox组件中使用了零日。MikroTik在4月份的不到一天的时间里修补了零日，但这并不一定意味着路由器所有者应用了所需的补丁。

相反，安全研究人员解剖了前零日，GitHub[1,2]上的几个地方都出现了公共概念验证(PoC)代码。

黑客使用2018年4月的MikroTik零日

根据Kenin的说法，攻击者使用其中一个PoC来改变通过MikroTik路由器的流量，并在通过路由器提供的所有页面中注入Coinhive库的副本。

我们知道只有一个威胁演员利用这个漏洞，因为攻击者只使用了一个Coinhive键来进行他在过去一周内进行的所有Coinhive注射。

此外，肯宁说他还发现了一些非MikroTik用户也受到影响的案例。他说这种情况正在发生，因为一些巴西ISP正在使用MikroTik路由器作为他们的主网络，因此攻击者设法在大量网络流量中注入恶意Coinhive代码。

此外，Kenin说，由于攻击的执行方式，注入既有两种方式，也不一定只针对流向用户的流量。例如，如果网站托管在受影响的MikroTik路由器后面的本地网络上，则该网站的流量也将注入Coinhive库。

黑客变得更加小心，缩小了操作

但是在如此多的流量中注入Coinhive是非常嘈杂的并且往往会惹恼用户，这可能导致用户和ISP调查问题的根源，例如Reddit上的这个用户。

攻击者似乎也理解了这个问题，并且Kenin说在最近的攻击中，黑客切换了策略并且只在路由器返回的错误页面中注入了Coinhive脚本。

但是他的攻击面缩小并不会成为攻击者的降级。Trustwave的研究人员表示，最近几天他看到这次袭击在巴西境外蔓延，现在已经超过了初始数量的两倍，改变了配置并在超过170,000台MikroTik路由器上添加了Coinhive注入。

“我要强调这次袭击有多糟糕，”肯宁说。“全球有数十万台这样的设备，由ISP和不同的组织和企业使用，每台设备每天至少为数十名用户提供服务。”

“攻击者明智地认为，不是感染访客很少的小网站，或者找不到最终用户计算机上运行恶意软件的复杂方法，他们会直接找到源;运营商级路由器设备，”他补充道。

“即使这种攻击仅适用于返回错误的页面，我们仍然在谈论攻击者每天可能有数百万个页面。”

攻击有增长空间

对Shodan IoT搜索引擎的查询显示，有超过170万台MikroTik路由器在线提供。

Bleeping Computer已经联系了Coinhive团队并询问他们是否取下了这个站点密钥，以及攻击者通过他的计划挖掘了多少Monero。

更新：在本文发表后不久，安全研究员Troy Mursch告诉Bleeping Computer他发现第二个Coinhive密钥被注入MikroTik路由器的流量中。该活动触及超过25,000台路由器，总数超过200,000台，因为第一个Coinhive密钥现已用于超过175,000台设备。目前还不清楚这个第二次活动是由另一名黑客策划，还是由同一个威胁演员在Trustwave暴露他的第一次操作后切换到新密钥。文章标题也更新了。

Coinhive网站密钥“oDcuakJy9iKIQhnaZRpy9tEsYiF2PUx4”用于另一个针对MikroTik路由器的#cryptojacking活动。在这种情况下，超过25,000个受影响的主机上找到@censysio H / T @ onyphe HTTPS ：//t.co/M9iLatsIVX - Bad Packets报告（@bad_packets）2018年8月2日