Notizie recenti sulla sicurezza informatica, Infoblox Threat Intel ha scoperto una botnet che ha compromesso 13.000 dispositivi MikroTik! La botnet ha sfruttato le vulnerabilità nelle configurazioni dei record DNS SPF per aggirare le difese delle e-mail. In seguito allo sfruttamento, la botnet ha effettuato lo spoofing di circa 20.000 domini web per diffondere il malware.
I punti chiave da prendere in considerazione
- Una botnet ha compromesso migliaia di dispositivi MikroTik per lanciare campagne di malspam.
- Lo sfruttamento si è verificato come risultato di un sistema permissivo di SPF utilizzate da diversi domini.
- Il risultato è stato un attacco spoofing diffuso, con allegati carichi di malware.
- Le principali lezioni apprese includono: evitare le configurazioni SPF permissive, controllare regolarmente i record DNS e utilizzare i servizi SPF in hosting con le macro.
Perché le botnet sono una minaccia persistente
Le botnet sono una rete di dispositivi compromessi manipolati e controllati da attori minacciosi, da remoto. Le reti bot sono da sempre una minaccia persistente per la sicurezza informatica. Hanno una natura ampiamente distribuita, che le rende un facile vettore per la diffusione di attività dannose su larga scala.
In passato le botnet sono state responsabili di quanto segue:
- Attacchi DDoS (Distributed Denial of Service)per sopraffare la rete di un obiettivo e bloccare i servizi o distrarre i difensori.
- Campagne di spam e phishingLe campagne di spam e phishing, che si svolgono in una zona di confine, inondano le caselle di posta elettronica di e-mail dannose per rubare informazioni sensibili o diffondere malware.
- Stuffing di credenziali per automatizzare i tentativi di accesso con credenziali rubate.
- Furto di dati che estrae dati personali o aziendali a scopo di lucro o di ulteriori attacchi.
- Cryptojackingè il dirottamento delle risorse del dispositivo per estrarre criptovalute.
- Reti proxy e frode di clicL 'atto di oscurare la posizione dell'attaccante e di frodare gli inserzionisti.
Nella recente campagna di spam malware scoperta da Infoblox, le botnet hanno utilizzato oltre 13.000 router MikroTik compromessi. Si tratta di una preoccupazione crescente per il settore della sicurezza informatica.
Anatomia della campagna malware
Spam di fatture di trasporto
Alla fine di novembre 2024, l'inizio della campagna è stato scoperto da Infoblox con una campagna di spam di fatture. Sono state inviate e-mail di spam, spacciate per fatture di spedizione DHL, con file ZIP contenenti payload JavaScript dannosi. Gli allegati ZIP avevano convenzioni di denominazione coerenti come:
- Fattura (numero a 2-3 cifre).zip
- Tracciamento (numero a 2-3 cifre).zip
Analisi del carico utile
I file ZIP, alias file JavaScript, eseguivano script Powershell. Questi si collegavano a un server di comando e controllo (C2) del malware ospitato a un indirizzo IP sospetto. L'indirizzo IP aveva una storia di precedenti attività dannose sul web. La botnet ha quindi creato una rete che ha avviato una catena di distribuzione del malware trojan.
Come sono stati compromessi i router MikroTik?
Secondo le indagini di Infoblox, più di 13.000 router MikroTik sono stati dirottati dalla botnet. Questi router erano configurati come proxy SOCKS. In questo modo hanno mascherato la loro origine, rendendoli non identificabili.
I router MikroTik sono stati un facile bersaglio per la botnet a causa delle loro vulnerabilità critiche intrinseche:
- I router presentano una falla nell'esecuzione di codice da remoto, facilmente sfruttabile con un accesso autenticato.
- L'impiego di proxy SOCK ha permesso agli attori delle minacce di nascondere le loro identità originali.
- Diversi dispositivi sono stati forniti con account "admin" predefiniti, contenenti password vuote.
Ruolo delle errate configurazioni SPF nell'attivazione della campagna di malspam
I server di posta elettronica riceventi autenticano la legittimità dei mittenti di e-mail attraverso i record TXT del DNS. Il record SPF o Sender Policy Framework ne è un esempio. Tuttavia, i record SPF permissivi in migliaia di domini di invio hanno fornito la scappatoia necessaria agli aggressori per aggirare i controlli di autenticazione.
Esempio di record SPF mal configurati
Un esempio di record SPF non permissivo è il seguente:
v=spf1 include:example.domain.com -all
Questo esempio consente solo ai server specificati di inviare e-mail per conto di un dominio. I domini non esplicitamente autorizzati falliranno l'SPF.
Un esempio di record SPF permissivo è il seguente:
v=spf1 include:example.domain.com +all
L'esempio precedente consente a qualsiasi server di inviare e-mail per conto di un dominio, consentendo lo spoofing e l'impersonificazione. Infloblox ha identificato l'uso di configurazioni SPF permissive come queste per lanciare le campagne dannose.
Controllo delle configurazioni SPF per prevenire gli exploit
È possibile verificare le configurazioni SPF del proprio dominio utilizzando uno dei seguenti metodi:
Ricerche manuali
I proprietari dei domini possono cercare i record SPF utilizzando i comandi NSlookup o Dig:
- Su Linux/MacOS: dig +short txt example.com | grep spf
- Su Windows: nslookup -type=txt example.com | Select-String -Pattern "spf"
Ricerche automatiche
Un modo più semplice per verificare le configurazioni del DNS SPF è utilizzare lo strumento di verifica SPF di PowerDMARC. strumento di controllo SPF.
- Inserite il vostro nome di dominio nella casella degli strumenti (ad esempio, dominio.com).
- Premete il pulsante "Cerca".
- Esaminare i risultati
È così facile! È un modo semplice e immediato per verificare l'SPF senza eseguire uno script o un comando Powershell e non richiede alcuna conoscenza tecnica.
Nota finale: lezioni apprese
La capacità della botnet di sfruttare le vulnerabilità del DNS lanciando sofisticati attacchi di spoofing evidenzia la necessità di seguire le best practice per la sicurezza delle e-mail:
- I proprietari dei domini devono verificare regolarmente i record DNS per garantire la correttezza di SPF, DKIM e DMARC e DMARC.
- I proprietari dei domini devono astenersi dall'utilizzare criteri SPF o DMARC troppo permissivi. DMARC per lunghi periodi di tempo.
- Rimuovere o proteggere gli account di amministrazione predefiniti sui dispositivi.
- Abilitazione Segnalazione DMARC per monitorare il traffico e-mail e rilevare gli accessi non autorizzati.
- Soprattutto, utilizzate i servizi di ottimizzazione delle macro SPF, come Hosted SPF per correggere gli errori e i punti deboli dell'SPF e rispettare facilmente le limitazioni di ricerca DNS dell'SPF.
La scoperta degli exploit della botnet MikroTik testimonia la crescente preoccupazione per gli attacchi informatici sofisticati. Per rimanere protette, le aziende devono aggiornare il loro stack di sicurezza per aprire la strada alle moderne tecnologie di cybersecurity basate sull'intelligenza artificiale. Ciò consentirà loro di navigare nel panorama delle minacce senza problemi, rimanendo indenni.
- Yahoo Japan raccomanda l'adozione del DMARC per gli utenti nel 2025 - 17 gennaio 2025
- La botnet MikroTik sfrutta le errate configurazioni SPF per diffondere il malware - 17 gennaio 2025
- La posta non autenticata DMARC è proibita [RISOLTO] - 14 gennaio 2025