近日,网络安全研究人员发现,全球约1.3万台被劫持的MikroTik路由器被用作僵尸网络,通过垃圾邮件传播恶意软件。这一名为“Mikro Typo”的攻击活动利用配置错误的DNS记录绕过电子邮件保护机制,发送伪装成合法域名的恶意邮件,成为MikroTik设备驱动的僵尸网络的最新案例。
据Infoblox安全研究员David Brunsdon在上周发布的技术报告中披露,该僵尸网络利用MikroTik路由器组成的全球网络发送恶意邮件。攻击者通过伪造货运发票相关的诱饵,诱使收件人打开包含恶意负载的ZIP文件。该ZIP文件中包含一个经过混淆的JavaScript文件,用于运行PowerShell脚本,从而与位于IP地址62.133.60[.]137的命令与控制(C2)服务器建立连接。
尽管攻击者入侵路由器的具体初始访问途径尚不明确,但受影响的设备包括多个固件版本,其中包括存在CVE-2023-30799漏洞的设备。该漏洞是一个严重的权限提升问题,可被滥用以实现任意代码执行。
Brunsdon指出,攻击者在被劫持的MikroTik设备上部署了启用SOCKS(安全套接字)的脚本,将每台设备转变为代理服务器。这不仅掩盖了恶意流量的真实来源,还增加了追踪攻击源的难度。更令人担忧的是,这些代理服务器无需身份验证即可使用,使得其他威胁行为者也能利用这些设备或整个僵尸网络发动分布式拒绝服务(DDoS)攻击、钓鱼攻击等恶意活动。
此次恶意邮件攻击活动还利用了2万个域名的发送方策略框架(SPF)TXT记录配置错误。攻击者通过配置中过于宽松的“+all”选项,能够以这些域名的名义发送邮件,绕过多种电子邮件安全防护措施。这意味着任何设备(如被劫持的MikroTik路由器)都可以伪造合法域名发送邮件。
如何防范?为应对此类攻击,MikroTik设备用户应采取以下措施:
-
及时更新路由器固件,修复已知漏洞;
-
更改默认账户凭据,避免使用弱密码;
-
检查并修复SPF记录配置,避免使用“+all”选项;
-
监控网络流量,及时发现异常活动。
Brunsdon强调:“如此大规模的MikroTik设备被劫持,使得该僵尸网络能够发动从DDoS攻击到数据窃取和钓鱼攻击等多种恶意活动。SOCKS4代理的使用进一步增加了检测和缓解的难度,凸显了采取强有力安全措施的必要性。”
随着物联网设备的普及,路由器等网络设备的安全问题日益突出。企业和个人用户需提高警惕,及时采取防护措施,避免成为僵尸网络的“帮凶”。
关注我们,获取更多网络安全动态与防护建议!
原文始发于微信公众号(技术修道场):全球1.3万台MikroTik路由器被劫持,僵尸网络发动恶意邮件攻击与网络攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论