Κακόβουλο λογισμικό MikroTik botnet με DNS SPF εγγραφές

Ένα botnet που ανακαλύφθηκε πρόσφατα με 13.000 συσκευές MikroTik χρησιμοποιεί μια εσφαλμένη ρύθμιση παραμέτρων στις εγγραφές διακομιστή ονομάτων τομέα για να παρακάμψει τις προστασίες email και να παραδώσει κακόβουλο λογισμικό πλαστογραφώντας περίπου 20.000 τομείς ιστού.

Ο παράγοντας απειλής εκμεταλλεύεται μια ακατάλληλα διαμορφωμένη εγγραφή DNS για το πλαίσιο πολιτικής αποστολέα (SPF) που χρησιμοποιείται για την καταχώριση όλων των διακομιστών που είναι εξουσιοδοτημένοι να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου για λογαριασμό ενός τομέα.

Εσφαλμένη ρύθμιση παραμέτρων εγγραφής SPF

Σύμφωνα με την εταιρεία ασφαλείας DNS Infoblox, η καμπάνια malspam ήταν ενεργή στα τέλη Νοεμβρίου 2024. Μερικά από τα μηνύματα ηλεκτρονικού ταχυδρομείου πλαστοπροσωπούσαν τη ναυτιλιακή εταιρεία DHL Express και παρέδιδαν πλαστά τιμολόγια φορτίου με αρχείο ZIP που περιείχε κακόβουλο ωφέλιμο φορτίο.

Μέσα στο συνημμένο ZIP υπήρχε ένα αρχείο JavaScript που συγκεντρώνει και εκτελεί ένα σενάριο PowerShell. Το σενάριο δημιουργεί μια σύνδεση με τον διακομιστή εντολής και ελέγχου (C2) του δράστη απειλής σε έναν τομέα που προηγουμένως ήταν συνδεδεμένος με Ρώσους χάκερ.

“Οι κεφαλίδες των πολλών ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου αποκάλυψαν μια τεράστια ποικιλία τομέων και διευθύνσεων IP διακομιστή SMTP και συνειδητοποιήσαμε ότι είχαμε αποκαλύψει ένα εκτεταμένο δίκτυο περίπου 13.000 συσκευών MikroTik που είχαν παραβιαστεί, όλες μέρος ενός μεγάλου botnet.” εξηγεί το Infoblox.

Το Infoblox εξηγεί ότι οι εγγραφές DNS SPF για περίπου 20.000 τομείς διαμορφώθηκαν με την υπερβολικά επιτρεπτή επιλογή “+όλα”, η οποία επιτρέπει σε οποιονδήποτε διακομιστή να στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου για λογαριασμό αυτών των τομέων.

Μια πιο ασφαλής επιλογή είναι η χρήση της επιλογής “-όλα”, η οποία περιορίζει την αποστολή email στους διακομιστές που καθορίζονται από τον τομέα.

Το MikroTik τροφοδοτεί ένα ακόμη botnet

Η μέθοδος συμβιβασμού παραμένει ασαφής, αλλά η Infoblox λέει ότι «είδα μια ποικιλία εκδόσεων που επηρεάστηκαν, συμπεριλαμβανομένων των πρόσφατων [MikroTik] εκδόσεις υλικολογισμικού.”

Οι δρομολογητές MikroTik είναι γνωστοί ως ισχυροί και οι παράγοντες απειλών τους στόχευαν για να δημιουργήσουν botnet ικανά για πολύ ισχυρές επιθέσεις.

Μόλις το περασμένο καλοκαίρι, ο πάροχος υπηρεσιών cloud OVHcloud κατηγόρησε ένα botnet με παραβιασμένες συσκευές MikroTik για μια μαζική επίθεση άρνησης υπηρεσίας που κορυφώθηκε σε 840 εκατομμύρια πακέτα ανά δευτερόλεπτο.

Παρά την παρότρυνση των κατόχων συσκευών MikroTik να ενημερώσουν τα συστήματα, πολλοί από τους δρομολογητές παραμένουν ευάλωτοι για παρατεταμένες χρονικές περιόδους λόγω του πολύ αργού ρυθμού ενημέρωσης κώδικα.

Το botnet σε αυτήν την περίπτωση διαμόρφωσε τις συσκευές ως διακομιστές μεσολάβησης SOCKS4 για να εκτοξεύουν επιθέσεις DDoS, να στέλνουν μηνύματα ηλεκτρονικού ψαρέματος, να εκμεταλλεύονται δεδομένα και γενικά να βοηθούν στην απόκρυψη της προέλευσης της κακόβουλης κυκλοφορίας.

«Αν και το botnet αποτελείται από 13.000 συσκευές, η διαμόρφωσή τους ως SOCKS proxies επιτρέπει σε δεκάδες ή ακόμα και εκατοντάδες χιλιάδες παραβιασμένες μηχανές να τα χρησιμοποιούν για πρόσβαση στο δίκτυο, ενισχύοντας σημαντικά την πιθανή κλίμακα και τον αντίκτυπο των λειτουργιών του botnet», σχολιάζει το Infoblox.

Συνιστάται στους κατόχους συσκευών MikroTik να εφαρμόσουν την πιο πρόσφατη ενημέρωση υλικολογισμικού για το μοντέλο τους, να αλλάξουν τα προεπιλεγμένα διαπιστευτήρια λογαριασμού διαχειριστή και να κλείσουν την απομακρυσμένη πρόσβαση στους πίνακες ελέγχου, εάν δεν χρειάζεται.