Nově objevený botnet složený z 13 000 zařízení MikroTik využívá špatnou konfiguraci záznamů doménového jmenného serveru (DNS) k obcházení e-mailových ochran a doručování malwaru prostřednictvím podvržených e-mailů z přibližně 20 000 webových domén. Útočník zneužívá nesprávně nakonfigurovaný DNS záznam pro Sender Policy Framework (SPF), který slouží k uvedení všech serverů oprávněných odesílat e-maily jménem dané domény.
Podle společnosti Infoblox, která se zabývá DNS bezpečností, byla malspamová kampaň aktivní koncem listopadu 2024. Některé z e-mailů se vydávaly za přepravní společnost DHL Express a obsahovaly falešné faktury za přepravu ve formě ZIP archivu s nebezpečným obsahem. Uvnitř ZIP přílohy byl JavaScriptový soubor, který sestavil a spustil PowerShell skript. Tento skript navázal spojení se serverem velení a řízení (C2) útočníka na doméně, která byla dříve spojována s ruskými hackery.
„Hlavičky mnoha spamových e-mailů odhalily širokou škálu domén a IP adres SMTP serverů, což nám umožnilo odhalit rozsáhlou síť přibližně 13 000 unesených zařízení MikroTik, která tvoří značný botnet,“ vysvětluje Infoblox.
Infoblox dále uvádí, že SPF DNS záznamy přibližně 20 000 domén byly nakonfigurovány s příliš povolující volbou „+all“, která umožňuje jakémukoli serveru odesílat e-maily jménem těchto domén. „Tím se v podstatě ruší účel SPF záznamu, protože to otevírá dveře pro podvržení a neoprávněné odesílání e-mailů,“ uvádí Infoblox. Bezpečnější volbou je použití možnosti „-all“, která omezuje odesílání e-mailů pouze na servery specifikované danou doménou.
Metoda kompromitace zůstává nejasná, ale Infoblox uvádí, že „byly zasaženy různé verze, včetně nedávných verzí firmwaru MikroTik.“ Routery MikroTik jsou známé svou výkonností a často se stávají cílem útočníků, kteří je využívají k vytvoření botnetů schopných velmi silných útoků.
Jen minulý rok poskytovatel cloudových služeb OVHcloud obvinil botnet složený z kompromitovaných zařízení MikroTik z masivního útoku typu denial-of-service, který dosáhl rekordních 840 milionů paketů za sekundu.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
