Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е използвана като ботнет за разпространение на зловреден софтуер чрез спам кампании – най-новото попълнение в списъка с ботнети, захранвани от устройства MikroTik.

Дейността „се възползва от неправилно конфигурирани DNS записи, за да премине през техниките за защита на електронната поща“, заяви изследователят по сигурността на Infoblox Дейвид Брънздън в технически доклад, публикуван миналата седмица. „Този ботнет използва глобална мрежа от рутери Mikrotik за изпращане на злонамерени имейли, които са проектирани така, че да изглеждат, че идват от легитимни домейни.“

Компанията за DNS сигурност, която е дала кодово име на кампанията Mikro Typo, заяви, че анализът ѝ е възникнал след откриването на злонамерена спам кампания в края на ноември 2024 г., която е използвала примамки, свързани с фактури за превоз на товари, за да подмами получателите да стартират полезен товар от ZIP архив.

ZIP файлът съдържа замаскиран JavaScript файл, който след това отговаря за стартирането на PowerShell скрипт, предназначен да инициира изходяща връзка към сървър за командване и контрол (C2), разположен на IP адрес 62.133.60[.]137.

Точният първоначален вектор за достъп, използван за проникване в маршрутизаторите, не е известен, но са засегнати различни версии на фърмуера, включително уязвими към CVE-2023-30799 – критичен проблем с повишаване на привилегиите, който може да бъде използван за постигане на произволно изпълнение на код.

„Независимо от начина, по който са били компрометирани, изглежда, че извършителят е поставял скрипт в устройствата [Mikrotik], който активира SOCKS (Secure Sockets), което позволява на устройствата да работят като TCP пренасочвачи“, казва Брунсдън.

„Активирането на SOCKS на практика превръща всяко устройство в прокси, което прикрива истинския произход на злонамерения трафик и затруднява проследяването на източника.“

Загрижеността се засилва от липсата на удостоверяване, необходимо за използването на тези проксита, което позволява на други участници  заплахи да използват конкретни устройства или цялата ботнет мрежа за злонамерени цели, вариращи от разпределени атаки за отказ на услуга (DDoS) до фишинг кампании.

Установено е, че въпросната кампания за зловреден спам се възползва от неправилна конфигурация в TXT записите на рамката за политика на изпращача (SPF) на 20 000 домейна, което дава възможност на нападателите да изпращат имейли от името на тези домейни и да заобикалят различни защити за сигурност на електронната поща.

По-конкретно стана ясно, че SPF записите са конфигурирани с изключително разрешаващата опция „+all“, което по същество отхвърля целта на тази защита. Това също така означава, че всяко устройство, като например компрометираните рутери MikroTik, може да подмени легитимния домейн в електронната поща.

На собствениците на устройства MikroTik се препоръчва да поддържат своите маршрутизатори в актуално състояние и да променят идентификационните данни на акаунта по подразбиране, за да предотвратят всякакви опити за експлоатация.

„С толкова много компрометирани MikroTik устройства ботнетът е способен да стартира широк спектър от злонамерени дейности – от DDoS атаки до кражба на данни и фишинг кампании“, каза Брънсън. „Използването на проксита SOCKS4 допълнително усложнява усилията за откриване и смекчаване на последиците, като подчертава необходимостта от надеждни мерки за сигурност.“