Le botnet MikroTik exploite les mauvaises configurations SPF pour diffuser des logiciels malveillants

Dans l'actualité récente de la cybersécurité, Infoblox Threat Intel a découvert un réseau de zombies compromettant 13 000 appareils MikroTik ! Le réseau de zombies a exploité des vulnérabilités dans la configuration des enregistrements DNS SPF pour contourner les défenses contre le courrier électronique. Après l'exploitation, le réseau de zombies a usurpé environ 20 000 domaines web pour diffuser des logiciels malveillants.

Pourquoi les réseaux de zombies constituent-ils une menace persistante ?

Les réseaux de zombies sont un réseau de dispositifs compromis manipulés et contrôlés à distance par des acteurs de la menace. Les botnets constituent depuis longtemps une menace persistante pour la cybersécurité. Ils sont largement distribués, ce qui en fait un vecteur facile de propagation d'activités malveillantes à grande échelle. 

Par le passé, les réseaux de zombies ont été à l'origine des actes suivants :

• Déni de service distribué(attaques DDoS)Les attaques par déni de service distribué (DDoS) visent à submerger le réseau d'une cible et à interrompre les services ou à distraire les défenseurs.
• Campagnes de spam et d'hameçonnage, inondent les boîtes de réception de courriels malveillants afin de voler des informations sensibles ou de propager des logiciels malveillants.
• Remplissage d'informations d'identification (Credential Stuffing) pour automatiser les tentatives de connexion à l'aide d'informations d'identification volées.
• Vol de données qui extrait des données personnelles ou d'entreprise à des fins lucratives ou pour mener d'autres attaques.
• CryptojackingLe cryptojacking consiste à détourner les ressources d'un appareil pour extraire de la crypto-monnaie.
• Réseaux proxy et fraude au clicLa fraude au clic est le fait de masquer la localisation des attaquants et d'escroquer les annonceurs.

Dans la récente campagne de spam malveillant découverte par Infoblox, les botnets ont utilisé plus de 13 000 routeurs MikroTik compromis. Il s'agit d'une préoccupation croissante pour le secteur de la cybersécurité.

Simplifiez la sécurité avec PowerDMARC !

Anatomie d'une campagne de logiciels malveillants

Spam sur les factures de fret

Fin novembre 2024, la campagne a commencé lorsqu'Infoblox a découvert une campagne de spam de factures. Des courriels de spam ont été envoyés, se faisant passer pour des factures du service de messagerie DHL, avec des fichiers ZIP contenant des charges utiles JavaScript malveillantes. Les pièces jointes pièces jointes ZIP avaient des conventions de dénomination cohérentes telles que :

• Facture (numéro à 2-3 chiffres).zip
• Suivi (numéro à 2-3 chiffres).zip

Analyse de la charge utile

Les fichiers ZIP, également appelés fichiers JavaScript, exécutaient des scripts Powershell. Ceux-ci se connectaient à un serveur de commande et de contrôle (C2) de logiciels malveillants hébergé à une adresse IP suspecte. Cette adresse IP avait déjà fait l'objet d'activités malveillantes sur le web. Le botnet a ainsi créé un réseau qui a initié une chaîne de distribution de chevaux de Troie malveillants. 

Comment les routeurs MikroTik ont-ils été compromis ? 

Selon l'enquête d'Infoblox, plus de 13 000 routeurs MikroTik ont été détournés par le botnet. Ces routeurs étaient configurés comme des proxys SOCKS. Cela a permis de masquer leur origine et de les rendre non identifiables. 

Les routeurs MikroTik étaient une cible facile pour le botnet en raison de leurs vulnérabilités critiques inhérentes : 

• Les routeurs présentent une faille d'exécution de code à distance qui est facilement exploitable avec un accès authentifié.
• Le déploiement de mandataires SOCK a permis aux acteurs de la menace de dissimuler leur identité d'origine. 
• Plusieurs appareils ont été livrés avec des comptes "admin" par défaut, contenant des mots de passe vierges.

Rôle des mauvaises configurations de SPF dans la mise en œuvre de la campagne de courrier indésirable

Les serveurs de messagerie qui reçoivent le courrier authentifient la légitimité des expéditeurs de courrier électronique par le biais d'enregistrements DNS TXT. L'enregistrement SPF (Sender Policy Framework) en est un exemple. Cependant, les enregistrements SPF permissifs dans des milliers de domaines d'envoi ont fourni la faille dont les attaquants avaient besoin pour contourner les contrôles d'authentification. 

Exemple d'enregistrements SPF mal configurés

Voici un exemple d'enregistrement SPF non permissif :

v=spf1 include:example.domain.com -all

L'exemple ci-dessus permet uniquement aux serveurs spécifiés d'envoyer des courriels au nom d'un domaine. Les domaines qui ne sont pas explicitement autorisés échoueront à SPF. 

Voici un exemple d'enregistrement SPF permissif : 

v=spf1 include:example.domain.com +all

L'exemple ci-dessus permet à n'importe quel serveur d'envoyer des courriels au nom d'un domaine, ce qui permet l'usurpation d'identité. Infloblox a identifié l'utilisation de configurations SPF permissives comme celles-ci pour lancer les campagnes malveillantes. 

Vérifier la configuration de SPF pour prévenir l'exploitation

Vous pouvez vérifier les configurations SPF de votre domaine en utilisant l'une des méthodes suivantes : 

Recherches manuelles 

Les propriétaires de domaines peuvent consulter les enregistrements SPF à l'aide des commandes NSlookup ou Dig : 

• Sous Linux/MacOS : dig +short txt example.com | grep spf
• Sous Windows : nslookup -type=txt example.com | Select-String -Pattern "spf"

Recherches automatiques 

Un moyen plus simple de vérifier vos configurations SPF DNS est d'utiliser l'outil PowerDMARC outil de vérificationSPF de PowerDMARC.

• Entrez votre nom de domaine dans la boîte à outils (par exemple domain.com)
• Cliquez sur le bouton "Recherche". 
• Examinez vos résultats 

C'est aussi simple que cela ! Il s'agit d'un moyen simple et instantané de vérifier SPF sans exécuter de script ou de commande Powershell et qui ne nécessite aucune connaissance technique. 

Note de fin : leçons tirées de l'expérience 

La capacité du botnet à exploiter les vulnérabilités du DNS en lançant des attaques sophistiquées d'usurpation d'identité souligne la nécessité de suivre les meilleures pratiques en matière de sécurité du courrier électronique : 

• Les propriétaires de domaines doivent régulièrement vérifier les enregistrements DNS afin de s'assurer que les messages sont bien envoyés. SPF, DKIM et DMARC appropriées.
• Les propriétaires de domaines doivent s'abstenir d'utiliser des SPF ou DMARC pendant de longues périodes.
• Supprimer ou sécuriser les comptes administrateurs par défaut sur les appareils.
• Activer le rapport DMARC pour surveiller le trafic de courrier électronique et détecter les accès non autorisés.
• Plus important encore, utilisez les services d'optimisation des macrosSPF tels que Hosted SPF pour corriger les erreurs et les faiblesses du SPF et respecter facilement les limites de la recherche DNS SPF .

La découverte d'exploits de botnet MikroTik témoigne de l'inquiétude croissante que suscitent les cyberattaques sophistiquées. Pour rester protégées, les entreprises doivent mettre à jour leur pile de sécurité afin d'ouvrir la voie à des technologies de cybersécurité modernes, soutenues par l'IA. Cela leur permettra de naviguer dans le paysage des menaces de manière transparente tout en restant indemnes.

• À propos de
• Derniers messages

Yunes Tarada

Expert en sécurité des domaines et des courriels chez PowerDMARC

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

• Le format du numéro de série SOA n'est pas valide : causes et solutions - 13 avril 2026
• Comment envoyer des e-mails sécurisés dans Gmail : guide étape par étape - 7 avril 2026
• Comment envoyer des e-mails sécurisés dans Outlook : guide étape par étape - 2 avril 2026