Trickbot银行木马使用失陷MikroTik路由器作为C2服务器的代理以逃避流量检测
2022年3月16日,Microsoft的安全研究团队发布报告称,监测发现Trickbot银行木马的新型变种正在不断更新其恶意功能,已经将影响范围从计算机扩展到路由器等物联网(IoT)设备。新发现的Trickbot样本能够利用MikroTik路由器设备对失陷主机和C2服务器之间的流量通过非标准端口进行重定向,从而建立一条隐蔽的通信线路实现命令控制,帮助恶意IP逃避安全防护产品的检测。值得注意的是,要实现流量重定向,攻击者必须窃取路由器凭证访问MikroTik shell。因此,在传播Trickbot新型变种之前,攻击者就已经通过暴力破解和漏洞利用(CVE-2018-14847)等方式提前窃取了大量MikroTik路由器的凭证。