![MikroTik 僵尸网络利用错误配置的 SPF DNS 记录传播恶意软件]( "MikroTik 僵尸网络利用错误配置的 SPF DNS 记录传播恶意软件")
新发现的由 13,000 台 MikroTik 设备组成的僵尸网络利用域名服务器记录中的错误配置来绕过电子邮件保护,并通过欺骗大约 20,000 个网络域来传播恶意软件。
威胁行为者利用发件人策略框架 (SPF) 中配置不当的 DNS 记录,该框架用于列出代表域发送电子邮件的所有授权服务器。
据 DNS 安全公司 Infoblox 称,该恶意垃圾邮件活动于 2024 年 11 月下旬活跃。其中一些电子邮件冒充 DHL Express 运输公司,并发送带有恶意负载的 ZIP 存档的虚假货运发票。
ZIP 附件中有一个 JavaScript 文件,用于汇编和运行 PowerShell 脚本。该脚本与威胁行为者的命令和控制 (C2) 服务器建立连接,该服务器位于之前与俄罗斯黑客绑定的域中。
Infoblox 解释道:“众多垃圾邮件的标题显示了大量域名和 SMTP 服务器 IP 地址,我们意识到我们发现了一个庞大的网络,其中大约有 13,000 台被劫持的 MikroTik 设备,它们全都是一个庞大的僵尸网络的一部分。”
Infoblox 解释说,大约 20,000 个域的 SPF DNS 记录配置了过于宽松的“+all”选项,这允许任何服务器代表这些域发送电子邮件。
![MikroTik 僵尸网络利用错误配置的 SPF DNS 记录传播恶意软件]( "MikroTik 僵尸网络利用错误配置的 SPF DNS 记录传播恶意软件")
更安全的选择是使用“-all”选项,它将电子邮件限制到域指定的服务器。
![MikroTik 僵尸网络利用错误配置的 SPF DNS 记录传播恶意软件]( "MikroTik 僵尸网络利用错误配置的 SPF DNS 记录传播恶意软件")
MikroTik 为另一个僵尸网络提供支持
入侵方法尚不清楚,但 Infoblox 表示他们“发现多种版本受到影响,包括最近的 [MikroTik] 固件版本”。
MikroTik 路由器以其功能强大而闻名,攻击者以它们为目标创建了能够发起非常强大攻击的僵尸网络。
就在去年夏天,云服务提供商 OVHcloud 指责受感染的 MikroTik 设备僵尸网络造成了大规模拒绝服务攻击,攻击峰值达到每秒 8.4 亿个数据包。
尽管敦促 MikroTik 设备所有者更新系统,但由于补丁发布速度非常慢,许多路由器在很长一段时间内仍然存在漏洞。
在这种情况下,僵尸网络将设备配置为 SOCKS4 代理来发起 DDoS 攻击、发送网络钓鱼电子邮件、窃取数据,并通常帮助掩盖恶意流量的来源。
Infoblox 评论道:“尽管僵尸网络由 13,000 台设备组成,但它们作为 SOCKS 代理的配置允许数万甚至数十万台受感染的机器使用它们进行网络访问,从而大大放大了僵尸网络运营的潜在规模和影响。”
建议 MikroTik 设备所有者为其型号应用最新的固件更新,更改默认管理员帐户凭据,并在不需要时关闭对控制面板的远程访问。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):MikroTik 僵尸网络利用错误配置的 SPF DNS 记录传播恶意软件
评论