<div dir="ltr"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><a href="https://threatpost.com/huge-cryptomining-attack-on-isp-grade-routers-spreads-globally/134667/">https://threatpost.com/huge-cryptomining-attack-on-isp-grade-routers-spreads-globally/134667/</a><br><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><b><span style="font-size:10pt"></span></b><span style="font-size:10pt"></span><span style="font-family:arial,helvetica,sans-serif"></span><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">A massive hacking campaign has been uncovered, compromising tens of thousands of MikroTik routers to embed Coinhive scripts in websites using a known vulnerability.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">So far, Censys.io has<span> </span><a href="https://twitter.com/bad_packets/status/1024868429797322753" target="_blank" rel="noopener" style="box-sizing:inherit;background-color:transparent;text-decoration:none;color:rgb(226,33,28)">reported</a><span> </span>more than 170,000 active MikroTik devices infected with the CoinHive site-key used in this campaign (the site-key is the same across infections, indicating a single entity behind the attacks). The campaign is mainly targeting Brazil – but infections are growing internationally, according to Trustwave’s Secure Web Gateway (SWG) team, indicating much larger ambitions.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">“This is a warning call and reminder to everyone who has a MikroTik device to patch as soon as possible,” Trustwave researcher Simon Kenin wrote<span> </span><a href="https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/" target="_blank" rel="noopener" style="box-sizing:inherit;background-color:transparent;text-decoration:none;color:rgb(226,33,28)">a posting</a><span> </span>today. “This attack may currently be prevalent in Brazil, but during the final stages of writing this blog, I also noticed other geo-locations being affected as well, so I believe this attack is intended to be on a global scale.”</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">MikroTik routers are used in large enterprises and by ISPs to serve web pages to thousands or more users daily, meaning that each compromise translates into a big payday for the threat actor.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">“We’re … talking about potentially millions of daily pages for the attacker,” Kenin wrote. “The attacker wisely thought that instead of infecting small sites with few visitors, or finding sophisticated ways to run malware on end-user computers, they would go straight to the source: carrier-grade router devices.”</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">Kenin added that while cryptomining is the primary goal of this wave of attacks, the script has persistence and the flexibility to change and add new features, exacerbating the threat.</p><h2 id="gmail-11661" class="gmail-rel_link" title="A Known Vulnerability" style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-size:1.25rem;color:rgb(0,0,0);line-height:1.3;font-weight:700;font-family:MuseoSans,sans-serif;text-decoration-style:initial;text-decoration-color:initial">A Known Vulnerability</h2><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">The attacks demonstrate the dangers of neglecting to patch. The campaign is taking advantage of a known vulnerability in the routers, which was<span> </span><a href="https://forum.mikrotik.com/viewtopic.php?f=21&t=133533" target="_blank" rel="noopener" style="box-sizing:inherit;background-color:transparent;text-decoration:none;color:rgb(226,33,28)">patched by MikroTik</a><span> </span>on April 23rd. A<span> </span><a href="https://twitter.com/MalwareHunterBR/status/1023893755974352896" target="_blank" rel="noopener" style="box-sizing:inherit;background-color:transparent;text-decoration:none;color:rgb(226,33,28)">tweet</a>from @MalwareHunterBR revealed the exploit being used, which targets Winbox and allows the attacker to gain unauthenticated remote administrative access to any vulnerable MikroTik router. A Shodan search shows at least 70,000 affected routers in Brazil alone, and tens of thousands more in other geographies.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">Whoever’s behind the campaign – so far, an unknown entity – also has some know-how when it comes to this particular router, given that he or she found a new attack vector for the vulnerability.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">“Initial investigation indicates that instead of running a malicious executable on the router itself, which is how the exploit was being used when it was first discovered, the attacker used the device’s functionality in order to inject the CoinHive script into every web page that a user visited,” explained Kenin.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">Further, the researcher uncovered that many of the compromised pages are actually error pages of the webproxy, meaning that the attacker created a custom error page with the CoinHive script in it.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">“If a user receives an error page of any kind while web browsing, they will get [a] custom error page which will mine CoinHive for the attacker,” Kenin explained. “The backend Apache server is connected to the router as well, and somewhere along the way there was an error and it was displayed to me, miner included. What this means is that this also impacts users who are not directly connected to the infected router’s network, but also users who visit websites behind these infected routers. In other words, the attack works in both directions.”</p><h2 id="gmail-15311" class="gmail-rel_link" title="A Growing Campaign" style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-size:1.25rem;color:rgb(0,0,0);line-height:1.3;font-weight:700;font-family:MuseoSans,sans-serif;text-decoration-style:initial;text-decoration-color:initial">A Growing Campaign</h2><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">The Trustwave research shows that the attacker has built mechanisms into the attacks that offer future potential for the existing infections.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">Meanwhile, among the commands that are executed when a router is infected is the creation of scheduled tasks for updating if needed. For one, he or she has scheduled a task which connects to another host and fetches a new “error.html” file – likely in the event that the site-key was blocked and had to be replaced with another.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">The attacker also scheduled a task which downloads and executes a script written for MikroTik routers named “u113.rsc”. A backdoor account named “ftu” is created as well.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">“When we checked, the script was just being used as a placeholder, but it’s clearly a way for the attacker to send additional commands to all compromised devices at their disposal,” Kenin explained, who added that he noticed the script being updated a few times during his investigation. These updates added more cleanup commands to leave a smaller footprint and reduce the risk of being detected.</p><p style="box-sizing:inherit;margin:0px 0px 1.25rem;padding:0px;font-weight:300;word-wrap:break-word;word-break:break-word;color:rgb(51,51,51);font-family:MuseoSans,sans-serif;font-size:16px;text-decoration-style:initial;text-decoration-color:initial">“MikroTik users need to ensure their RouterOS is up-to-date with the latest security patches,” said<span> </span><a href="https://twitter.com/bad_packets/status/1024868429797322753" style="box-sizing:inherit;background-color:transparent;text-decoration:none;color:rgb(226,33,28)">Troy Mursch</a>, security researcher at Bad Packets Report, via email. “Otherwise, as we see in this case, they can be compromised to inject cryptojacking malware. As the Censys and Shodan search results reveal, it’s been easy for miscreants to compromise them on a large scale.”</p><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>