‫ استفاده بات‌نت‌ها از پیکربندی نادرست برای انتشار بدافزار

یک بات‌نت تازه کشف شده متشکل از 13000 دستگاه MikroTik از یک پیکربندی نادرست در سوابق سرور نام دامنه استفاده می‌کند تا با جعل کردن حدود 20000 دامنه وب، محافظت‌های ایمیل را دور بزند و بدافزار را ارائه دهد.

عامل تهدید از یک رکورد DNS پیکربندی نادرست برای چارچوب خط مشی فرستنده (SPF) استفاده می کند که برای فهرست کردن همه سرورهای مجاز برای ارسال ایمیل از طرف یک دامنه استفاده می‌شود.

رکورد SPF پیکربندی نادرست

به گفته شرکت امنیت DNS Infoblox، کمپین malspam در اواخر نوامبر 2024 فعال بود. برخی از ایمیل‌ها جعل هویت شرکت حمل‌ و نقل DHL Express و فاکتورهای جعلی حمل‌ونقل با بایگانی ZIP حاوی محموله مخرب را تحویل می‌دادند.

در فایل پیوست ZIP یک فایل جاوا اسکریپت وجود داشت که یک اسکریپت PowerShell را مونتاژ و اجرا می‌کرد. این اسکریپت ارتباطی با سرور فرمان و کنترل عامل تهدید (C2) در دامنه‌ای که قبلاً به هکرهای روسی مرتبط بود، برقرار می‌کند.

Infoblox توضیح می‌دهد: «سرصفحه‌های بسیاری از ایمیل‌های هرزنامه، مجموعه گسترده‌ای از دامنه‌ها و آدرس‌های IP سرور SMTP را نشان می‌دهند و ما متوجه شدیم که شبکه گسترده‌ای متشکل از حدود 13000 دستگاه MikroTik ربوده شده را کشف کرده‌ایم که همگی بخشی از یک بات‌نت بزرگ هستند.

Infoblox توضیح می دهد که رکوردهای SPF DNS برای حدود 20000 دامنه با گزینه بیش از حد مجاز "+all" پیکربندی شده است که به هر سروری اجازه می‌دهد از طرف آن دامنه‌ها ایمیل ارسال کند.

یک انتخاب مطمئن‌تر، استفاده از گزینه "-all" است که ارسال ایمیل به سرورهای مشخص شده توسط دامنه را محدود می‌کند.

 MikroTik یک بات‌نت دیگر را تامین می‌کند

روش مصالحه همچنان نامشخص است، اما Infoblox می‌گوید آنها «نسخه‌های مختلفی را تحت تأثیر قرار داده‌اند، از جمله نسخه‌های اخیر میان‌افزار [MikroTik]».

روترهای MikroTik به قدرتمند بودن معروف هستند و عوامل تهدید آنها را هدف قرار می‌دهند تا بات نت‌هایی ایجاد کنند که قادر به حملات بسیار قدرتمند هستند.

تابستان گذشته، ارائه‌ دهنده خدمات ابری OVHcloud، بات‌نتی از دستگاه‌های MikroTik به خطر افتاده را مقصر حمله انکار خدمات گسترده‌ای دانست که به رکورد 840میلیون بسته در ثانیه رسید.

علی‌رغم ترغیب صاحبان دستگاه‌های MikroTik برای به‌روزرسانی سیستم‌ها، بسیاری از روترها به دلیل نرخ وصله بسیار پایین برای مدت طولانی آسیب‌پذیر هستند.

بات‌نت در این مورد، دستگاه‌ها را به‌عنوان پراکسی‌های SOCKS4 برای راه‌اندازی حملات DDoS، ارسال ایمیل‌های فیشینگ، استخراج داده‌ها و به طور کلی کمک به پنهان کردن منشاء ترافیک مخرب پیکربندی کرد.

Infoblox می‌گوید: «اگرچه بات‌نت متشکل از 13000 دستگاه است، پیکربندی آن‌ها به‌عنوان پراکسی‌های SOCKS به ده‌ها یا حتی صدها هزار دستگاه در معرض خطر اجازه می‌دهد تا از آن‌ها برای دسترسی به شبکه استفاده کنند، که به طور قابل‌توجهی مقیاس بالقوه و تأثیر عملیات بات‌نت را تقویت می‌کند».

به دارندگان دستگاه MikroTik توصیه می‌شود که آخرین به روز‌رسانی سیستم عامل را برای مدل خود اعمال کنند، اعتبار حساب کاربری پیش فرض مدیریت را تغییر دهند و در صورت عدم نیاز، دسترسی از راه دور به کنترل پنل‌ها را ببندند.

منبع

bleepingcomputer