Ένα botnet 13.000 συσκευών MikroTik, που ανακαλύφθηκε πρόσφατα, χρησιμοποιεί μια εσφαλμένη ρύθμιση παραμέτρων στις εγγραφές domain name server, για να παρακάμψει τις προστασίες email και να παραδώσει malware παραπλανώντας περίπου 20.000 web domains.
Δείτε επίσης: Νέο botnet στοχεύει industrial routers με zero-day exploits

Ο κακόβουλος παράγοντας εκμεταλλεύεται μια ακατάλληλα διαμορφωμένη εγγραφή DNS για το πλαίσιο πολιτικής αποστολέα (SPF) που χρησιμοποιείται για την καταχώριση όλων των διακομιστών που είναι εξουσιοδοτημένοι να στέλνουν μηνύματα email για λογαριασμό ενός τομέα.
Σύμφωνα με την εταιρεία ασφαλείας DNS, Infoblox, η καμπάνια malspam ήταν ενεργή στα τέλη Νοεμβρίου 2024. Μερικά από τα μηνύματα ηλεκτρονικού ταχυδρομείου πλαστοπροσωπούσαν τη ναυτιλιακή εταιρεία DHL Express και παρέδιδαν πλαστά τιμολόγια φορτίου με αρχείο ZIP που περιείχε κακόβουλο ωφέλιμο φορτίο.
Μέσα στο συνημμένο ZIP υπήρχε ένα αρχείο JavaScript που συγκεντρώνει και εκτελεί ένα σενάριο PowerShell. Το σενάριο δημιουργεί μια σύνδεση με τον διακομιστή εντολών και ελέγχου (C2) της απειλής σε έναν τομέα που προηγουμένως ήταν συνδεδεμένος με Ρώσους χάκερ.
Η Infoblox εξηγεί ότι οι εγγραφές DNS SPF για περίπου 20.000 τομείς διαμορφώθηκαν με την υπερβολικά επιτρεπτή επιλογή “+όλα“, η οποία επιτρέπει σε οποιονδήποτε διακομιστή να στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου για λογαριασμό αυτών των τομέων.
Δείτε ακόμα: Malware botnets εκμεταλλεύονται ξεπερασμένα D-Link routers
Μια πιο ασφαλής επιλογή είναι η χρήση της επιλογής “-όλα“, η οποία περιορίζει την αποστολή email στους διακομιστές που καθορίζονται από τον τομέα.

Η μέθοδος παραβίασης παραμένει ασαφής, αλλά η Infoblox λέει ότι «είδε μια ποικιλία εκδόσεων που επηρεάστηκαν, συμπεριλαμβανομένων των πρόσφατων εκδόσεων υλικολογισμικού [MikroTik]». Οι δρομολογητές MikroTik είναι γνωστοί ως ισχυροί και οι παράγοντες απειλών τους στόχευαν για να δημιουργήσουν botnet ικανά για πολύ ισχυρές επιθέσεις.
Παρά την παρότρυνση των κατόχων συσκευών MikroTik να ενημερώσουν τα συστήματα, πολλοί από τους δρομολογητές παραμένουν ευάλωτοι για παρατεταμένες χρονικές περιόδους λόγω του πολύ αργού ρυθμού ενημέρωσης κώδικα.
Το botnet σε αυτήν την περίπτωση διαμόρφωσε τις συσκευές ως διακομιστές μεσολάβησης SOCKS4 για να πραγματοποιήσουν επιθέσεις DDoS, να στέλνουν μηνύματα ηλεκτρονικού phishing, να εκμεταλλεύονται δεδομένα και γενικά να βοηθούν στην απόκρυψη της προέλευσης της κακόβουλης κυκλοφορίας.
Δείτε επίσης: To Mirai Botnet στοχεύει smart routers της Juniper
Τα botnet, όπως αυτό που χρησιμοποιεί συσκευές MikroTik, είναι δίκτυα παραβιασμένων υπολογιστών ή συσκευών που ελέγχονται εξ αποστάσεως από εισβολείς, συχνά χωρίς τη γνώση των χρηστών. Αυτά τα δίκτυα χρησιμοποιούνται συνήθως για την εκτέλεση κακόβουλων δραστηριοτήτων, όπως η αποστολή ανεπιθύμητων email, η πραγματοποίηση επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS), η κλοπή ευαίσθητων πληροφοριών ή η διάδοση malware. Ένα botnet λειτουργεί μολύνοντας συσκευές με κακόβουλο λογισμικό, μετατρέποντάς τες σε “bots” που ακολουθούν τις εντολές ενός κεντρικού ελεγκτή, γνωστού ως botmaster. Με τον αυξανόμενο αριθμό συνδεδεμένων συσκευών, τα botnets έχουν γίνει μια σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο, τονίζοντας την ανάγκη για ισχυρές πρακτικές ασφαλείας για την προστασία των συστημάτων από συμβιβασμούς.
Πηγή: bleepingcomputer