13,000个MikroTik路由器因恶意垃圾邮件和网络攻击被僵尸网络劫持

admin 2025年1月22日08:43:39评论18 views字数 1860阅读6分12秒阅读模式
13,000个MikroTik路由器因恶意垃圾邮件和网络攻击被僵尸网络劫持

全球约13,000台被劫持的MikroTik路由器组成了一个僵尸网络,被用于通过垃圾邮件活动传播恶意软件。这标志着MikroTik设备支持的僵尸网络列表中又添一新成员。

根据Infoblox安全研究员David Brunsdon上周发布的技术报告,该活动“利用配置错误的DNS记录来传递电子邮件保护技术”。该僵尸网络利用全球范围内的MikroTik路由器发送恶意电子邮件,这些邮件被伪装成来自合法域名。

代号为“Mikro Typo”的DNS安全公司表示,其分析始于2024年11月下旬发现的一起恶意垃圾邮件活动。该活动利用与运费发票相关的诱饵,诱使收件人打开ZIP存档负载。

网络安全分析

ZIP文件包含一个混淆的JavaScript文件,该文件负责运行一个PowerShell脚本,旨在建立与位于IP地址62.133.60.137的命令与控制(C2)服务器的出站连接。

目前尚不清楚攻击者用于渗透路由器的确切初始访问向量,但多个固件版本均受到影响,包括易受CVE-2023-30799漏洞影响的固件版本。该漏洞是一个关键的权限提升问题,可能被利用以实现任意代码执行。

Brunsdon指出,无论这些设备是如何被入侵的,攻击者似乎在MikroTik设备上放置了一个脚本,该脚本启用了SOCKS(安全套接字),从而使设备能够作为TCP重定向器运行。

“启用SOCKS有效地将每个设备转变为代理,掩盖了恶意流量的真实来源,使其更难以追踪到源头。”

令人担忧的是,这些代理的使用缺乏身份验证,这使得其他攻击者能够将特定设备或整个僵尸网络武器化,用于各种恶意目的,包括分布式拒绝服务(DDoS)攻击和网络钓鱼活动。

此外,研究人员发现恶意垃圾邮件活动利用了20,000个域名的发件人策略框架(SPF)TXT记录中的配置错误。这使得攻击者能够代表这些域名发送电子邮件,并绕过各种电子邮件安全防护措施。

具体来说,SPF记录被配置为极其宽松的“+all”选项,这完全违背了其最初的设计初衷。这也意味着任何被入侵的设备,如MikroTik路由器,都可以在电子邮件中冒充合法域名。

安全建议

建议MikroTik设备所有者保持路由器的固件更新,并更改默认账户凭证,以防止任何利用尝试。

Brunsdon指出,鉴于如此多的MikroTik设备被入侵,僵尸网络能够发起广泛的恶意活动,包括DDoS攻击、数据盗窃和网络钓鱼活动。“使用SOCKS4代理进一步复杂化了检测和缓解工作,凸显了采取强有力安全措施的必要性。”

延展阅读:MikroTypo活动是如何利用DNS记录进行攻击的?

1. 利用错误配置的SPF记录绕过电子邮件安全防护

SPF(发件人策略框架)记录用于验证电子邮件发件人的合法性。然而,MikroTypo活动利用了约20,000个域名的SPF记录配置错误,这些记录被设置为过于宽松的“+all”选项。这种配置允许任何服务器代表这些域名发送电子邮件,从而绕过了电子邮件安全防护机制,使得攻击者能够伪装成合法域名发送恶意邮件。

2. 伪装合法域名发送恶意邮件

攻击者通过篡改DNS记录,将恶意邮件伪装成来自合法域名的邮件。例如,在2024年11月的活动中,攻击者伪装成DHL快递公司发送带有假发票ZIP文件的邮件。这些邮件中的ZIP附件包含恶意JavaScript文件,执行后会运行PowerShell脚本,连接到攻击者的命令与控制(C2)服务器。

3. 利用DNS劫持和缓存投毒技术

攻击者可能通过DNS劫持或缓存投毒的方式篡改DNS记录,将用户重定向到恶意网站或服务器。这种技术使得用户在不知情的情况下访问攻击者控制的服务器,从而实现信息窃取或恶意软件传播。

4. 通过SOCKS代理隐藏攻击源

攻击者将被劫持的MikroTik路由器配置为SOCKS代理,进一步隐藏恶意流量的真实来源。这种技术不仅使得攻击更难被追踪,还可能被其他威胁者利用,用于发起分布式拒绝服务(DDoS)攻击或网络钓鱼活动。

5. 利用MikroTik设备的固件漏洞

被劫持的MikroTik路由器可能因固件漏洞(如远程代码执行漏洞)被攻击者控制。这些漏洞使得攻击者能够远程部署恶意脚本,利用设备发起攻击。

MikroTypo活动通过利用DNS记录的错误配置和漏洞,结合电子邮件伪装和代理技术,实现了大规模的恶意软件传播和网络攻击。这种攻击方式不仅隐蔽性强,还难以追踪,对网络安全构成了严重威胁。

原文始发于微信公众号(独角鲸网络安全实验室):13,000个MikroTik路由器因恶意垃圾邮件和网络攻击被僵尸网络劫持

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月22日08:43:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   13,000个MikroTik路由器因恶意垃圾邮件和网络攻击被僵尸网络劫持https://cn-sec.com/archives/3658408.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息