MikroTikボットネット、SPFの設定ミスを悪用してマルウェアを拡散

ブログ

MikroTikボットネットが脆弱なSPF設定を悪用し、20,000のドメインになりすまし、広範なマルスパム・キャンペーンを展開。

byユネス・タラダ

最終更新日:
4 読了時間:約4分
MikroTikボットネット、SPFの設定ミスを悪用してマルウェアを拡散

最近のサイバーセキュリティニュース Infoblox Threat Intelは、13,000台のMikroTikデバイスを侵害するボットネットを発見した!このボットネットは、SPF DNSレコード設定の脆弱性を悪用し、電子メール防御を回避していました。悪用後、ボットネットは約20,000のウェブドメインを偽装し、マルウェアを拡散しました。

主なポイント

  1. 13,000台のMikroTikデバイスを悪用したボットネットは、サイバー攻撃におけるSPFの誤設定の重大な影響を浮き彫りにした。
  2. 許可されたSPF設定により、攻撃者はメール認証を回避し、なりすましドメインを通じてマルウェアを拡散させることができた。
  3. このキャンペーンは、悪意のあるペイロードを含むZIPファイルを添付した偽装請求メールを悪用し、警戒心の薄いユーザーを感染させる手法に依存していた。
  4. DNSレコードを定期的に監査し、過度に寛容なSPF設定を避けることは、電子メールのセキュリティを強化するために不可欠です。
  5. 自動SPFチェックツールを利用することで、ドメイン所有者の安全なSPFレコードの維持プロセスを簡素化することができます。

ボットネットが持続的な脅威である理由

ボットネットとは、脅威行為者によって遠隔操作され、制御される危険なデバイスのネットワークである。ボットネットは、古くからサイバーセキュリティに対する根強い脅威でした。ボットネットは広範囲に分散しているため、大規模な悪意のある活動を拡散するための容易な媒介となっています。 

ボットネットは過去に以下のような被害をもたらしている:

 

  • 分散型サービス拒否(DDoS攻撃)標的のネットワークを圧倒し、サービスを停止させたり、防御側の注意をそらしたりする。
  • スパムおよびフィッシングキャンペーン悪意のあるメールで受信箱を埋め尽くし、機密情報を盗んだりマルウェアを拡散させたりする。
  • クレデンシャル・スタッフィング 盗まれた認証情報を使ってログイン試行を自動化する。
  • データ窃盗利益やさらなる攻撃のために個人または企業のデータを抜き取ること。
  • クリプトジャッキング暗号通貨を採掘するためにデバイスのリソースを乗っ取ること
  • プロキシネットワークとクリック詐欺クリック詐欺とは攻撃者の所在地を不明瞭にし、広告主を欺く行為。

Infobloxが発見した最近のマルウェア・スパム・キャンペーンでは、ボットネットが13,000台以上の侵害されたMikroTikルーターを利用していた。これは、サイバーセキュリティ業界にとって懸念が高まっている。

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

マルウェア・キャンペーンの解剖

運賃請求書スパム

2024年11月下旬、Infobloxが請求書スパムキャンペーンを発見し、キャンペーンが開始されました。DHLの宅配便サービスの請求書を装ったスパムメールが送信され、悪意のあるJavaScriptペイロードを含むZIPファイルが添付されていました。この ZIP添付ファイルのような一貫した命名規則がありました:

  • 請求書(2~3桁の番号).zip
  • トラッキング(2-3桁の番号).zip

ペイロード分析

ZIPファイル、別名JavaScriptファイルは、Powershellスクリプトを実行した。これらは、不審なIPアドレスでホストされていたマルウェアのコマンド&コントロール(C2)サーバーに接続されていました。このIPアドレスは、過去にウェブ上で悪質な活動を行った履歴がありました。これにより、ボットネットはネットワークを構築し、トロイの木馬型マルウェアの連鎖的な配布を開始しました。 

MikroTikルーターはどのように危険にさらされたのか? 

Infobloxの調査によると、13,000台以上のMikroTikルーターがボットネットに乗っ取られていました。これらのルーターはSOCKSプロキシーとして設定されていました。これにより、ルーターの出所が隠蔽され、ボットネットを特定することができなくなりました。 

MikroTikルーターは、その固有の致命的な脆弱性により、ボットネットのターゲットになりやすかった: 

  • このルーターには、認証されたアクセスで容易に悪用可能なリモートコード実行の欠陥がある。
  • SOCKプロキシを導入することで、脅威行為者は本来の身元を隠すことができた。 
  • いくつかのデバイスは、空白のパスワードを含むデフォルトの "admin "アカウントで出荷された。

マルスパムキャンペーンを可能にするSPFの誤設定の役割

受信側のメールサーバーは、DNSのTXTレコードを通じてメール送信者の正当性を認証する。SPF(センダー・ポリシー・フレームワーク)レコードはその一例である。しかし、何千もの送信ドメインにある寛容なSPFレコードは、攻撃者が認証チェックをバイパスするために必要な抜け穴となった。 

誤ったSPFレコードの設定例

非許可SPFレコードの例を以下に示す:

v=spf1 include:example.domain.com -all

この例では、指定されたサーバーだけがドメインに代わってメールを送信できるようにしています。明示的に許可されていないドメインはSPFに失敗します。 

寛容なSPFレコードの例を以下に示す: 

v=spf1 include:example.domain.com +all

上記の例では、どのサーバーでもドメインの代理としてメールを送信できるため、なりすましやなりすましが可能になります。Inflobloxは、悪意のあるキャンペーンを開始するために、このような寛容なSPF設定が使用されていることを特定しました。 

悪用を防ぐためのSPF設定のチェック

ドメインのSPF設定は、以下のいずれかの方法で確認できます: 

手動ルックアップ 

ドメイン所有者は、NSlookupまたはDigコマンドを使ってSPFレコードを検索できる: 

  • Linux/MacOSの場合: dig +short txt example.com | grep spf
  • Windowsの場合 nslookup -type=txt example.com | Select-String -Pattern "spf"

自動ルックアップ 

SPF DNS設定をチェックするもっと簡単な方法は、PowerDMARCの SPFチェッカーツール.

  • ツールボックスにドメイン名を入力(例:domain.com)
  • 検索」ボタンを押す 
  • 結果を確認する 

とても簡単です!これは、Powershellスクリプトやコマンドを実行することなく、SPFをチェックする手間のかからない即席の方法であり、専門的な知識は必要ありません。 

巻末資料:教訓 

ボットネットはDNSの脆弱性を悪用し、高度ななりすまし攻撃を仕掛けており、メールセキュリティのベストプラクティスに従う必要性を強調している: 

  • ドメイン所有者は、DNSレコードを定期的に監査して、適切な SPF、DKIM、およびDMARCの設定を確認する必要があります。
  • ドメイン所有者は、過度に寛容なSPFやDMARポリシーの使用を控えなければならない。 DMARCポリシーを長期間使用しないようにしなければならない。
  • デバイス上のデフォルトの管理者アカウントを削除または保護する。
  • 有効にする DMARCレポートメールトラフィックを監視し、不正アクセスを検出する。
  • 最も重要なことは、Hosted SPFのようなSPFマクロ最適化サービスを利用することです。 などの最適化サービスを利用して、SPFのエラーや弱点を修正し、SPF DNSルックアップの制限に簡単に準拠することができます。

MikroTikボットネット・エクスプロイトの発見は、高度なサイバー攻撃の懸念が高まっていることの証しである。企業は、保護された状態を維持するために、セキュリティ・スタックを更新し、AIに裏打ちされた最新のサイバーセキュリティ技術への道を開く必要がある。これにより、企業は無傷のまま脅威の状況をシームレスにナビゲートできるようになる。

CTA

最新記事 by Yunes Tarada(全て見る)
最終更新日:
MTA-STSとは?正しいMTA STSポリシーの設定MTA STSブログヤフー、2025年のDMARC導入を推奨