Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е използвана като ботнет за разпространение на зловреден софтуер чрез спам кампании – най-новото попълнение в списъка с ботнети, захранвани от устройства MikroTik.

Дейността „се възползва от неправилно конфигурирани DNS записи, за да премине през техниките за защита на електронната поща“, заяви изследователят по сигурността на Infoblox Дейвид Брънздън в технически доклад, публикуван миналата седмица. „Този ботнет използва глобална мрежа от рутери Mikrotik за изпращане на злонамерени имейли, които са проектирани така, че да изглеждат, че идват от легитимни домейни.“

Компанията за DNS сигурност, която е дала кодово име на кампанията Mikro Typo, заяви, че анализът ѝ е възникнал след откриването на злонамерена спам кампания в края на ноември 2024 г., която е използвала примамки, свързани с фактури за превоз на товари, за да подмами получателите да стартират полезен товар от ZIP архив.

ZIP файлът съдържа замаскиран JavaScript файл, който след това отговаря за стартирането на PowerShell скрипт, предназначен да инициира изходяща връзка към сървър за командване и контрол (C2), разположен на IP адрес 62.133.60[.]137.

Точният първоначален вектор за достъп, използван за проникване в маршрутизаторите, не е известен, но са засегнати различни версии на фърмуера, включително уязвими към CVE-2023-30799 – критичен проблем с повишаване на привилегиите, който може да бъде използван за постигане на произволно изпълнение на код.

„Независимо от начина, по който са били компрометирани, изглежда, че извършителят е поставял скрипт в устройствата [Mikrotik], който активира SOCKS (Secure Sockets), което позволява на устройствата да работят като TCP пренасочвачи“, казва Брунсдън.

„Активирането на SOCKS на практика превръща всяко устройство в прокси, което прикрива истинския произход на злонамерения трафик и затруднява проследяването на източника.“

Загрижеността се засилва от липсата на удостоверяване, необходимо за използването на тези проксита, което позволява на други участници  заплахи да използват конкретни устройства или цялата ботнет мрежа за злонамерени цели, вариращи от разпределени атаки за отказ на услуга (DDoS) до фишинг кампании.

Установено е, че въпросната кампания за зловреден спам се възползва от неправилна конфигурация в TXT записите на рамката за политика на изпращача (SPF) на 20 000 домейна, което дава възможност на нападателите да изпращат имейли от името на тези домейни и да заобикалят различни защити за сигурност на електронната поща.

По-конкретно стана ясно, че SPF записите са конфигурирани с изключително разрешаващата опция „+all“, което по същество отхвърля целта на тази защита. Това също така означава, че всяко устройство, като например компрометираните рутери MikroTik, може да подмени легитимния домейн в електронната поща.

На собствениците на устройства MikroTik се препоръчва да поддържат своите маршрутизатори в актуално състояние и да променят идентификационните данни на акаунта по подразбиране, за да предотвратят всякакви опити за експлоатация.

„С толкова много компрометирани MikroTik устройства ботнетът е способен да стартира широк спектър от злонамерени дейности – от DDoS атаки до кражба на данни и фишинг кампании“, каза Брънсън. „Използването на проксита SOCKS4 допълнително усложнява усилията за откриване и смекчаване на последиците, като подчертава необходимостта от надеждни мерки за сигурност.“

Източник: The Hacker News

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
Бъдете социални
Още по темата
07/02/2025

Zimperium откри 1 000 прило...

Фирмата за мобилна сигурност Zimperium е...
06/02/2025

Нападателите се насочват къ...

Кампания за фишинг се възползва от...
05/02/2025

Петте очи дадоха насоки за ...

Агенциите за киберсигурност на Петте  очи...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!