ΑρχικήSecurityΤο MikroTik botnet χρησιμοποιεί εγγραφές SPF DNS για τη διάδοση malware

Το MikroTik botnet χρησιμοποιεί εγγραφές SPF DNS για τη διάδοση malware

Ένα botnet 13.000 συσκευών MikroTik, που ανακαλύφθηκε πρόσφατα, χρησιμοποιεί μια εσφαλμένη ρύθμιση παραμέτρων στις εγγραφές domain name server, για να παρακάμψει τις προστασίες email και να παραδώσει malware παραπλανώντας περίπου 20.000 web domains.

Δείτε επίσης: Νέο botnet στοχεύει industrial routers με zero-day exploits

MikroTik botnet

Ο κακόβουλος παράγοντας εκμεταλλεύεται μια ακατάλληλα διαμορφωμένη εγγραφή DNS για το πλαίσιο πολιτικής αποστολέα (SPF) που χρησιμοποιείται για την καταχώριση όλων των διακομιστών που είναι εξουσιοδοτημένοι να στέλνουν μηνύματα email για λογαριασμό ενός τομέα.

Advertisement

Σύμφωνα με την εταιρεία ασφαλείας DNS, Infoblox, η καμπάνια malspam ήταν ενεργή στα τέλη Νοεμβρίου 2024. Μερικά από τα μηνύματα ηλεκτρονικού ταχυδρομείου πλαστοπροσωπούσαν τη ναυτιλιακή εταιρεία DHL Express και παρέδιδαν πλαστά τιμολόγια φορτίου με αρχείο ZIP που περιείχε κακόβουλο ωφέλιμο φορτίο.

Μέσα στο συνημμένο ZIP υπήρχε ένα αρχείο JavaScript που συγκεντρώνει και εκτελεί ένα σενάριο PowerShell. Το σενάριο δημιουργεί μια σύνδεση με τον διακομιστή εντολών και ελέγχου (C2) της απειλής σε έναν τομέα που προηγουμένως ήταν συνδεδεμένος με Ρώσους χάκερ.

Η Infoblox εξηγεί ότι οι εγγραφές DNS SPF για περίπου 20.000 τομείς διαμορφώθηκαν με την υπερβολικά επιτρεπτή επιλογή “+όλα“, η οποία επιτρέπει σε οποιονδήποτε διακομιστή να στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου για λογαριασμό αυτών των τομέων.

Δείτε ακόμα: Malware botnets εκμεταλλεύονται ξεπερασμένα D-Link routers

Μια πιο ασφαλής επιλογή είναι η χρήση της επιλογής “-όλα“, η οποία περιορίζει την αποστολή email στους διακομιστές που καθορίζονται από τον τομέα.

Η μέθοδος παραβίασης παραμένει ασαφής, αλλά η Infoblox λέει ότι «είδε μια ποικιλία εκδόσεων που επηρεάστηκαν, συμπεριλαμβανομένων των πρόσφατων εκδόσεων υλικολογισμικού [MikroTik]». Οι δρομολογητές MikroTik είναι γνωστοί ως ισχυροί και οι παράγοντες απειλών τους στόχευαν για να δημιουργήσουν botnet ικανά για πολύ ισχυρές επιθέσεις.

Παρά την παρότρυνση των κατόχων συσκευών MikroTik να ενημερώσουν τα συστήματα, πολλοί από τους δρομολογητές παραμένουν ευάλωτοι για παρατεταμένες χρονικές περιόδους λόγω του πολύ αργού ρυθμού ενημέρωσης κώδικα.

Το botnet σε αυτήν την περίπτωση διαμόρφωσε τις συσκευές ως διακομιστές μεσολάβησης SOCKS4 για να πραγματοποιήσουν επιθέσεις DDoS, να στέλνουν μηνύματα ηλεκτρονικού phishing, να εκμεταλλεύονται δεδομένα και γενικά να βοηθούν στην απόκρυψη της προέλευσης της κακόβουλης κυκλοφορίας.

Δείτε επίσης: To Mirai Botnet στοχεύει smart routers της Juniper

Τα botnet, όπως αυτό που χρησιμοποιεί συσκευές MikroTik, είναι δίκτυα παραβιασμένων υπολογιστών ή συσκευών που ελέγχονται εξ αποστάσεως από εισβολείς, συχνά χωρίς τη γνώση των χρηστών. Αυτά τα δίκτυα χρησιμοποιούνται συνήθως για την εκτέλεση κακόβουλων δραστηριοτήτων, όπως η αποστολή ανεπιθύμητων email, η πραγματοποίηση επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS), η κλοπή ευαίσθητων πληροφοριών ή η διάδοση malware. Ένα botnet λειτουργεί μολύνοντας συσκευές με κακόβουλο λογισμικό, μετατρέποντάς τες σε “bots” που ακολουθούν τις εντολές ενός κεντρικού ελεγκτή, γνωστού ως botmaster. Με τον αυξανόμενο αριθμό συνδεδεμένων συσκευών, τα botnets έχουν γίνει μια σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο, τονίζοντας την ανάγκη για ισχυρές πρακτικές ασφαλείας για την προστασία των συστημάτων από συμβιβασμούς.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS