近期，全球专家表示受僵尸网络控制的超过MicroTik路由器是他们近年来看到的最大的网络犯罪活动之一。根据Avast发布的由器一项新研究，Glupteba僵尸网络以及臭名昭著的僵尸TrickBot恶意软件的加密货币挖掘活动都使用相同的命令和控制(C2)服务器进行分发。Avast的网络高级恶意软件研究员Martin Hron说，“近230,恶意000个易受攻击的MikroTik路由器受到僵尸网络的控制。”

该僵尸网络利用MikroTik路由器的软件Winbox组件中的一个已知漏洞 ( CVE-2018-14847 )，使攻击者能够获得对任何受影响设备的全球未经身份验证的远程管理访问权限。部分Mēris僵尸网络于2021年9月下旬陷入困境。超过对此，由器Hron说：“CVE-2018-14847漏洞于2018年公布，僵尸MikroTik虽然针对该漏洞发布了修复程序，亿华云网络但犯罪分子同样可以利用其达到控制路由器的恶意目的。

Avast在2021年7月观察到的软件攻击链中，易受攻击的全球MikroTik路由器以域名bestony[.]club中检索的第一梯队为目标，该脚本随后被用于globalmoby[.]xyz。有趣的是，这两个域都链接到同一个IP地址：116.202.93[.]14，导致发现了另外七个积极用于攻击的域，其中一个 (tik.anyget[.]ru) 是用于向目标主机提供 Glupteba 恶意软件样本。“当请求URL https://tik.anyget[.]ru时，我被重定向到https://routers.rip/site/login(再次被 Cloudflare 代理隐藏)，”Hron说，“这是一个用于编排被奴役的MikroTik路由器的控制面板”，该页面显示了连接到僵尸网络的实时设备数。云服务器提供商

但在2021年9月上旬 Mēris僵尸网络的详细信息进入公共领域后，据说命令和控制服务器突然停止提供脚本。该披露还与微软的一份新报告相吻合，该报告揭示了TrickBot 恶意软件如何将MikroTik路由器武器化，这增加了操作人员使用相同僵尸网络即服务的可能性。

鉴于这些攻击，建议用户使用最新的安全补丁更新他们的路由器，设置强大的路由器密码，并从公共端禁用路由器的管理界面。“他们的目标并不是在物联网设备上运行恶意软件，因为基于不同的架构和操作系统版本不同让恶意软件不仅很难编写也很难大规模传播，”Hron 说，“这样做是为了隐藏攻击者的踪迹或用作DDoS攻击的工具。云服务器”