コマンドアンドコントロールのプロキシとしてMikroTikルーターを悪用するTrickBotマルウェア

マイクロソフトは水曜日に、コマンドアンドコントロール（C2）サーバーとの通信を確立するための仲介役として、侵害されたモノのインターネット（IoT）デバイスを使用することを含む、TrickBotマルウェアによって使用されるこれまで発見されていなかった手法について詳しく説明しました。
「MikroTikルーターをC2サーバーのプロキシサーバーとして使用し、トラフィックを非標準ポート経由でリダイレクトすることで、TrickBotは、悪意のあるIPが標準セキュリティシステムによる検出を回避するのに役立つ別の永続層を追加します」MicrosoftのIoT研究チームおよび脅威インテリジェンスセンター（MSTIC ）言った。
具体的には、MSTICによって特定された新しい方法では、MikroTikのルーターなどのハッキングされたIoTデバイスを利用して、「TrickBotの影響を受けるデバイスとC2サーバー間の通信回線を作成」します。
次のステップでは、攻撃者はルーターのポート449と80の間でトラフィックをリダイレクトするように設計されたネットワークアドレス変換（NAT）コマンドを発行し、TrickBotに感染したホストがC2サーバーと通信するためのパスを確立します。
「ルーターやその他のIoTデバイスに対する攻撃の試みは目新しいものではなく、管理されていないため、ネットワーク内で最も弱いリンクになる可能性があります。」