Trickbot银行木马使用失陷MikroTik路由器作为C2服务器的代理以逃避流量检测

2022年3月16日，Microsoft的安全研究团队发布报告称，监测发现Trickbot银行木马的新型变种正在不断更新其恶意功能，已经将影响范围从计算机扩展到路由器等物联网（IoT）设备。新发现的Trickbot样本能够利用MikroTik路由器设备对失陷主机和C2服务器之间的流量通过非标准端口进行重定向，从而建立一条隐蔽的通信线路实现命令控制，帮助恶意IP逃避安全防护产品的检测。值得注意的是，要实现流量重定向，攻击者必须窃取路由器凭证访问MikroTik shell。因此，在传播Trickbot新型变种之前，攻击者就已经通过暴力破解和漏洞利用（CVE-2018-14847）等方式提前窃取了大量MikroTik路由器的凭证。