13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击

admin 2025年1月17日11:54:27评论14 views字数 1126阅读3分45秒阅读模式

13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击

公众号现在只对常读和星标的才展示大图推送,

建议大家把夜组科技圈设为星标,接收一手资讯!

Infoblox Threat Intel 最近发布的一份报告重点介绍了一个复杂的僵尸网络操作,该操作利用简单的 DNS 配置错误来大规模传播恶意软件。该僵尸网络建立在约 13,000 台受感染的 MikroTik 设备上,使用伪造的发件人域和恶意垃圾邮件活动来部署木马恶意软件并可能进行其他恶意活动。

13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击

报道称,“该僵尸网络利用 MikroTik 路由器的全球网络发送恶意电子邮件,这些电子邮件伪装成来自合法域名。”攻击者利用 DNS 配置错误,特别是发件人策略框架 (SPF) 记录中的错误,让来自未经授权服务器的电子邮件看起来像是合法的。

Infoblox 发现,大约有 20,000 个发件人域参与了此操作。一个关键因素是 SPF 记录配置错误。正如 Infoblox 所解释的那样,SPF 信息作为 TXT 记录发布在域的 DNS 记录中。如果配置错误,它可以允许任何服务器代表域发送电子邮件。

13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击
DNS 配置错误如何引发僵尸网络恶意垃圾邮件活动

正确配置的 SPF 记录如下所示:

v=spf1 包括:example.com -all

然而,僵尸网络利用了配置错误的域名,例如:

v=spf1 包括:example.com +all

包含“+all”实际上允许任何服务器代表域发送电子邮件,从而使 SPF 保护无效。

该活动的电子邮件通常模仿 DHL 等运输公司,使用引用发票或跟踪信息的主题行。电子邮件包含以一致模式命名的 zip 文件附件,例如“Invoice###.zip”或“Tracking###.zip”。在这些 zip 文件中,Infoblox 发现了执行 PowerShell 脚本的混淆 JavaScript 文件,将受害者连接到托管在与可疑俄罗斯活动相关的 IP 上的命令和控制 (C2) 服务器。

MikroTik 路由器因其固件漏洞而成为已知的攻击目标。许多此类设备都附带一个硬编码的“管理员”帐户,密码为空,这是一个明显的安全漏洞。威胁者利用这些路由器启用 SOCKS 代理,有效地将这些设备转变为恶意流量的匿名中继。

Infoblox 指出,“启用 SOCKS 可以有效地将每台设备变成代理,掩盖恶意流量的真实来源,并使其更难追溯到源头。” 受感染的路由器助长了各种攻击,包括:

  • 恶意软件传递:使用代理绕过安全过滤器。
  • 数据泄露:将敏感数据发送到攻击者控制的服务器。
  • 网络钓鱼活动:扩大恶意电子邮件活动的规模。

报告的结论是:“每一台被入侵的设备都将成为一台更大、更邪恶的机器中的一个齿轮,能够对毫无戒心的目标造成严重破坏。”

感谢您抽出

13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击

.

13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击

.

13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击

来阅读本文

13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击

点它,分享点赞在看都在这里

原文始发于微信公众号(夜组科技圈):13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月17日11:54:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   13,000 台 MikroTik 路由器遭劫持,用于全球垃圾邮件攻击https://cn-sec.com/archives/3637651.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息