• La rete botnet MikroTik sfrutta le errate configurazioni SPF per diffondere il malware

La rete botnet MikroTik sfrutta le errate configurazioni SPF per diffondere il malware

Blog

Una botnet di MikroTik ha sfruttato le configurazioni SPF deboli, effettuando lo spoofing di 20.000 domini per lanciare diffuse campagne di malspam.

di YunesTarada

Tempo di lettura: 4 min
La rete botnet MikroTik sfrutta le errate configurazioni SPF per diffondere il malware
Indice dei contenuti-

Notizie recenti sulla sicurezza informatica, Infoblox Threat Intel ha scoperto una botnet che ha compromesso 13.000 dispositivi MikroTik! La botnet ha sfruttato le vulnerabilità nelle configurazioni dei record DNS SPF per aggirare le difese delle e-mail. In seguito allo sfruttamento, la botnet ha effettuato lo spoofing di circa 20.000 domini web per diffondere il malware.

I punti chiave da prendere in considerazione

  1. Una botnet che ha sfruttato 13.000 dispositivi MikroTik ha evidenziato l'impatto critico delle errate configurazioni SPF nei cyberattacchi.
  2. Le configurazioni SPF permissive consentivano agli aggressori di aggirare l'autenticazione delle e-mail e di diffondere malware attraverso domini spoofati.
  3. La campagna si è basata su e-mail di fatturazione ingannevoli contenenti file ZIP con payload dannosi per infettare gli utenti ignari.
  4. Il controllo regolare dei record DNS e l'evitare configurazioni SPF troppo permissive sono essenziali per migliorare la sicurezza delle e-mail.
  5. L'utilizzo di strumenti di controllo SPF automatizzati può semplificare il processo di mantenimento di record SPF sicuri per i proprietari di domini.

Perché le botnet sono una minaccia persistente

Le botnet sono una rete di dispositivi compromessi manipolati e controllati da attori minacciosi, da remoto. Le reti bot sono da sempre una minaccia persistente per la sicurezza informatica. Hanno una natura ampiamente distribuita, che le rende un facile vettore per la diffusione di attività dannose su larga scala. 

In passato le botnet sono state responsabili di quanto segue:

 

  • Attacchi DDoS (Distributed Denial of Service)per sopraffare la rete di un obiettivo e bloccare i servizi o distrarre i difensori.
  • Campagne di spam e phishingLe campagne di spam e phishing, che si svolgono in una zona di confine, inondano le caselle di posta elettronica di e-mail dannose per rubare informazioni sensibili o diffondere malware.
  • Stuffing di credenziali per automatizzare i tentativi di accesso con credenziali rubate.
  • Furto di dati che estrae dati personali o aziendali a scopo di lucro o di ulteriori attacchi.
  • Cryptojackingè il dirottamento delle risorse del dispositivo per estrarre criptovalute.
  • Reti proxy e frode di clicL 'atto di oscurare la posizione dell'attaccante e di frodare gli inserzionisti.

Nella recente campagna di spam malware scoperta da Infoblox, le botnet hanno utilizzato oltre 13.000 router MikroTik compromessi. Si tratta di una preoccupazione crescente per il settore della sicurezza informatica.

Semplificate la sicurezza con PowerDMARC!

Prova di 15 giorniPrenota una demo

Anatomia della campagna malware

Spam di fatture di trasporto

Alla fine di novembre 2024, l'inizio della campagna è stato scoperto da Infoblox con una campagna di spam di fatture. Sono state inviate e-mail di spam, spacciate per fatture di spedizione DHL, con file ZIP contenenti payload JavaScript dannosi. Gli allegati ZIP avevano convenzioni di denominazione coerenti come:

  • Fattura (numero a 2-3 cifre).zip
  • Tracciamento (numero a 2-3 cifre).zip

Analisi del carico utile

I file ZIP, alias file JavaScript, eseguivano script Powershell. Questi si collegavano a un server di comando e controllo (C2) del malware ospitato a un indirizzo IP sospetto. L'indirizzo IP aveva una storia di precedenti attività dannose sul web. La botnet ha quindi creato una rete che ha avviato una catena di distribuzione del malware trojan. 

Come sono stati compromessi i router MikroTik? 

Secondo le indagini di Infoblox, più di 13.000 router MikroTik sono stati dirottati dalla botnet. Questi router erano configurati come proxy SOCKS. In questo modo hanno mascherato la loro origine, rendendoli non identificabili. 

I router MikroTik sono stati un facile bersaglio per la botnet a causa delle loro vulnerabilità critiche intrinseche: 

  • I router presentano una falla nell'esecuzione di codice da remoto, facilmente sfruttabile con un accesso autenticato.
  • L'impiego di proxy SOCK ha permesso agli attori delle minacce di nascondere le loro identità originali. 
  • Diversi dispositivi sono stati forniti con account "admin" predefiniti, contenenti password vuote.

Ruolo delle errate configurazioni SPF nell'attivazione della campagna di malspam

I server di posta elettronica riceventi autenticano la legittimità dei mittenti di e-mail attraverso i record TXT del DNS. Il record SPF o Sender Policy Framework ne è un esempio. Tuttavia, i record SPF permissivi in migliaia di domini di invio hanno fornito la scappatoia necessaria agli aggressori per aggirare i controlli di autenticazione. 

Esempio di record SPF mal configurati

Un esempio di record SPF non permissivo è il seguente:

v=spf1 include:example.domain.com -all

Questo esempio consente solo ai server specificati di inviare e-mail per conto di un dominio. I domini non esplicitamente autorizzati falliranno l'SPF. 

Un esempio di record SPF permissivo è il seguente: 

v=spf1 include:example.domain.com +all

L'esempio precedente consente a qualsiasi server di inviare e-mail per conto di un dominio, consentendo lo spoofing e l'impersonificazione. Infloblox ha identificato l'uso di configurazioni SPF permissive come queste per lanciare le campagne dannose. 

Controllo delle configurazioni SPF per prevenire gli exploit

È possibile verificare le configurazioni SPF del proprio dominio utilizzando uno dei seguenti metodi: 

Ricerche manuali 

I proprietari dei domini possono cercare i record SPF utilizzando i comandi NSlookup o Dig: 

  • Su Linux/MacOS: dig +short txt example.com | grep spf
  • Su Windows: nslookup -type=txt example.com | Select-String -Pattern "spf"

Ricerche automatiche 

Un modo più semplice per verificare le configurazioni del DNS SPF è utilizzare lo strumento di verifica SPF di PowerDMARC. strumento di controllo SPF.

  • Inserite il vostro nome di dominio nella casella degli strumenti (ad esempio, dominio.com).
  • Premete il pulsante "Cerca". 
  • Esaminare i risultati 

È così facile! È un modo semplice e immediato per verificare l'SPF senza eseguire uno script o un comando Powershell e non richiede alcuna conoscenza tecnica. 

Nota finale: lezioni apprese 

La capacità della botnet di sfruttare le vulnerabilità del DNS lanciando sofisticati attacchi di spoofing evidenzia la necessità di seguire le best practice per la sicurezza delle e-mail: 

  • I proprietari dei domini devono verificare regolarmente i record DNS per garantire la correttezza di SPF, DKIM e DMARC e DMARC.
  • I proprietari dei domini devono astenersi dall'utilizzare criteri SPF o DMARC troppo permissivi. DMARC per lunghi periodi di tempo.
  • Rimuovere o proteggere gli account di amministrazione predefiniti sui dispositivi.
  • Abilitazione Segnalazione DMARC per monitorare il traffico e-mail e rilevare gli accessi non autorizzati.
  • Soprattutto, utilizzate i servizi di ottimizzazione delle macro SPF, come Hosted SPF per correggere gli errori e i punti deboli dell'SPF e rispettare facilmente le limitazioni di ricerca DNS dell'SPF.

La scoperta degli exploit della botnet MikroTik testimonia la crescente preoccupazione per gli attacchi informatici sofisticati. Per rimanere protette, le aziende devono aggiornare il loro stack di sicurezza per aprire la strada alle moderne tecnologie di cybersecurity basate sull'intelligenza artificiale. Ciò consentirà loro di navigare nel panorama delle minacce senza problemi, rimanendo indenni.

CTA

Ultimi messaggi di Yunes Tarada (vedi tutti)
Migliori alternative ad AutoSPF: Confronto dettagliato delle caratteristicheyahoo GiapponeYahoo Japan raccomanda l'adozione del DMARC per gli utenti nel 2025