Последние новости кибербезопасности, Infoblox Threat Intel обнаружила ботнет, скомпрометировавший 13 000 устройств MikroTik! Ботнет использовал уязвимости в конфигурации DNS-записей SPF, чтобы обойти защиту электронной почты. После эксплуатации ботнет подменил около 20 000 веб-доменов для распространения вредоносного ПО.
Ключевые выводы
- Ботнет скомпрометировал тысячи устройств MikroTik для запуска вредоносных спам-кампаний.
- Эксплуатация произошла в результате использования разрешительного SPF конфигурации, используемой несколькими доменами.
- Результатом стала широкомасштабная атака с использованием спуфинга, несущая вложения с вредоносным ПО.
- Среди основных уроков - отказ от разрешительных конфигураций SPF, регулярная проверка записей DNS и использование служб Hosted SPF с макросами.
Почему ботнеты представляют собой постоянную угрозу
Ботнеты - это сеть взломанных устройств, которыми удаленно манипулируют и управляют субъекты угроз. Ботнеты уже давно представляют собой постоянную угрозу кибербезопасности. Они имеют широко распространенный характер, что делает их удобным вектором для распространения масштабных вредоносных действий.
В прошлом ботнеты были ответственны за следующее:
- Распределенный отказ в обслуживании(DDoS-атаки)Атаки с целью перегрузить сеть объекта атаки, вывести из строя сервисы или отвлечь защитников.
- Спам и фишинговые кампанииНаводняют почтовые ящики вредоносными письмами, чтобы украсть конфиденциальную информацию или распространить вредоносное ПО.
- Credential Stuffing для автоматизации попыток входа в систему с украденными учетными данными.
- Кража данных кража личных или корпоративных данных с целью получения прибыли или дальнейших атак.
- КриптоджекингЭто захват ресурсов устройства для добычи криптовалюты.
- Прокси-сети и мошенничество с кликамиэто действие по сокрытию местоположения злоумышленников и обману рекламодателей.
В недавней спам-кампании, обнаруженной компанией Infoblox, ботнеты использовали более 13 000 взломанных маршрутизаторов MikroTik. Это вызывает растущую обеспокоенность индустрии кибербезопасности.
Анатомия вредоносной кампании
Спам в виде грузовых счетов-фактур
В конце ноября 2024 года компания "Инфоблокс" обнаружила спам-кампанию, связанную со счетами-фактурами. Рассылались спам-письма, выдававшие себя за счета-фактуры DHL, с ZIP-файлами, содержащими вредоносные JavaScript-файлы. На сайте ZIP-вложения имели последовательные соглашения об именовании, такие как:
- Счет-фактура (2-3-значный номер).zip
- Отслеживание (2-3-значный номер).zip
Анализ полезной нагрузки
Файлы ZIP, они же файлы JavaScript, выполняли сценарии Powershell. Они подключались к командно-контрольному (C2) серверу вредоносного ПО, который размещался на подозрительном IP-адресе. Этот IP-адрес имел историю предыдущих вредоносных действий в Интернете. Таким образом, ботнет создавал сеть, которая запускала цепочку распространения троянских вредоносных программ.
Как были скомпрометированы маршрутизаторы MikroTik?
Согласно результатам расследования, проведенного компанией Infoblox, ботнет захватил более 13 000 маршрутизаторов MikroTik. Эти маршрутизаторы были настроены как SOCKS-прокси. Это маскировало их происхождение, делая их неидентифицируемыми.
Маршрутизаторы MikroTik стали легкой мишенью для ботнета из-за присущих им критических уязвимостей:
- Маршрутизаторы имеют дефект удаленного выполнения кода, который легко эксплуатируется при аутентифицированном доступе.
- Развертывание прокси-серверов SOCK позволило участникам угрозы скрыть свои подлинные личности.
- Некоторые устройства поставлялись с учетными записями "admin" по умолчанию, содержащими пустые пароли.
Роль неправильных конфигураций SPF в организации кампании по рассылке вредоносного спама
Получающие почтовые серверы проверяют легитимность отправителей электронной почты с помощью записей DNS TXT. Одним из таких примеров является запись SPF или Sender Policy Framework. Однако разрешительные записи SPF в тысячах доменов-отправителей обеспечили злоумышленникам лазейку, необходимую для обхода проверок подлинности.
Пример неправильно настроенных записей SPF
Пример не разрешающей записи SPF выглядит следующим образом:
v=spf1 include:example.domain.com -all
Этот пример позволяет только указанным серверам отправлять электронные письма от имени домена. Домены, не имеющие явного разрешения, не пройдут SPF.
Пример разрешительной записи SPF выглядит следующим образом:
v=spf1 include:example.domain.com +all
Приведенный выше пример позволяет любому серверу отправлять электронные письма от имени домена, что позволяет осуществлять подмену и выдавать себя за другого. Infloblox выявила использование подобных разрешительных конфигураций SPF для запуска вредоносных кампаний.
Проверка конфигурации SPF для предотвращения эксплуатации
Вы можете проверить конфигурацию SPF вашего домена, используя один из следующих методов:
Ручной поиск
Владельцы доменов могут искать SPF-записи с помощью команд NSlookup или Dig:
- В Linux/MacOS: dig +short txt example.com | grep spf
- В Windows: nslookup -type=txt example.com | Select-String -Pattern "spf"
Автоматический поиск
Более простой способ проверить конфигурацию DNS SPF - использовать инструмент PowerDMARC инструмент проверки SPF.
- Введите имя вашего домена в поле инструментов (например, domain.com).
- Нажмите кнопку "Поиск".
- Проанализируйте свои результаты
Это так просто! Это простой и мгновенный способ проверки SPF без запуска сценария или команды Powershell, не требующий технических знаний.
В конце примечания: Извлеченные уроки
Способность ботнета использовать уязвимости DNS, запуская сложные спуфинг-атаки, подчеркивает необходимость следования передовым методам обеспечения безопасности электронной почты:
- Владельцы доменов должны регулярно проверять записи DNS, чтобы убедиться в их правильности SPF, DKIM и DMARC конфигураций.
- Владельцы доменов должны воздерживаться от использования слишком разрешительных политик SPF или политики DMARC в течение длительного времени.
- Удалите или защитите учетные записи администраторов по умолчанию на устройствах.
- Включить отчетность DMARC для мониторинга почтового трафика и обнаружения несанкционированного доступа.
- Самое главное - использовать сервисы оптимизации SPF Macros, такие как Hosted SPF для исправления ошибок и недостатков SPF, а также для соблюдения ограничений SPF DNS lookup.
Обнаружение эксплойтов ботнета MikroTik свидетельствует о растущей опасности сложных кибератак. Чтобы оставаться защищенными, компании должны обновить свой стек безопасности, чтобы проложить путь к современным технологиям кибербезопасности, поддерживающим искусственный интеллект. Это позволит им легко ориентироваться в ландшафте угроз и оставаться невредимыми.
- Yahoo Japan рекомендует пользователям внедрить DMARC в 2025 году - 17 января 2025 г.
- Ботнет MikroTik использует неправильную конфигурацию SPF для распространения вредоносного ПО - 17 января 2025 г.
- Неаутентифицированная почта DMARC запрещена [Решено] - 14 января 2025 г.