Botnetul MikroTik utilizează înregistrări DNS SPF configurate greșit pentru a răspândi malware
Sursă: https://www.bleepingcomputer.com
Un botnet recent descoperit, format din 13.000 de dispozitive MikroTik, utilizează o configurație greșită a înregistrărilor serverului DNS pentru a ocoli măsurile de securitate a e-mailurilor și pentru a furniza programe malware prin falsificarea a aproximativ 20.000 de domenii web.
Persoanele rău intenționate exploatează o înregistrare DNS configurată necorespunzător pentru framework-ul sender policy (SPF) utilizat pentru a lista toate serverele autorizate să trimită e-mailuri în numele unui domeniu.
Conform unor specialiști, campania malspam a fost activă la sfârșitul lunii noiembrie 2024. Unele dintre e-mailuri s-au dat drept o companie de transport și au livrat facturi de transport false cu o arhivă ZIP ce conținea un payload malițios.
În atașamentul ZIP se afla un fișier JavaScript care asamblează și rulează un script PowerShell. Scriptul stabilește o conexiune la serverul de comandă și control (C2) al atacatorului.
Infoblox explică faptul că înregistrările DNS SPF pentru aproximativ 20.000 de domenii au fost configurate cu opțiunea prea permisivă +all, care permite oricărui server să trimită e-mailuri în numele domeniilor respective.
O alegere mai sigură este utilizarea opțiunii -all, care limitează trimiterea de e-mail la serverele specificate de domeniu.
Routerele MikroTik sunt cunoscute pentru faptul că sunt performante, iar persoanele rău intenționate le-au vizat pentru a crea botnet-uri capabile de atacuri foarte puternice.
În ciuda îndemnului adresat utilizatorilor de dispozitive MikroTik de a actualiza sistemele, multe dintre routere rămân vulnerabile pentru perioade îndelungate de timp din cauza unei rate foarte scăzute de actualizare.
În acest caz, botnetul a configurat dispozitivele ca proxy SOCKS4 pentru a lansa atacuri de tip DDoS, a trimite e-mailuri de phishing, a exfiltra date și, în general, a ajuta la acoperirea originii traficului malițios.
Utilizatorii de dispozitive MikroTik sunt sfătuiți să aplice cea mai recentă actualizare de firmware pentru modelul lor, să schimbe credențialele contului de administrator implicit și să închidă accesul de la distanță la panourile de control dacă nu este necesar.
Sursă: https://www.bleepingcomputer.com/news/security/mikrotik-botnet-uses-misconfigured-spf-dns-records-to-spread-malware/
