یک باتنت تازه کشف شده متشکل از 13000 دستگاه MikroTik از یک پیکربندی نادرست در سوابق سرور نام دامنه استفاده میکند تا با جعل کردن حدود 20000 دامنه وب، محافظتهای ایمیل را دور بزند و بدافزار را ارائه دهد.
عامل تهدید از یک رکورد DNS پیکربندی نادرست برای چارچوب خط مشی فرستنده (SPF) استفاده می کند که برای فهرست کردن همه سرورهای مجاز برای ارسال ایمیل از طرف یک دامنه استفاده میشود.
رکورد SPF پیکربندی نادرست
به گفته شرکت امنیت DNS Infoblox، کمپین malspam در اواخر نوامبر 2024 فعال بود. برخی از ایمیلها جعل هویت شرکت حمل و نقل DHL Express و فاکتورهای جعلی حملونقل با بایگانی ZIP حاوی محموله مخرب را تحویل میدادند.
در فایل پیوست ZIP یک فایل جاوا اسکریپت وجود داشت که یک اسکریپت PowerShell را مونتاژ و اجرا میکرد. این اسکریپت ارتباطی با سرور فرمان و کنترل عامل تهدید (C2) در دامنهای که قبلاً به هکرهای روسی مرتبط بود، برقرار میکند.
Infoblox توضیح میدهد: «سرصفحههای بسیاری از ایمیلهای هرزنامه، مجموعه گستردهای از دامنهها و آدرسهای IP سرور SMTP را نشان میدهند و ما متوجه شدیم که شبکه گستردهای متشکل از حدود 13000 دستگاه MikroTik ربوده شده را کشف کردهایم که همگی بخشی از یک باتنت بزرگ هستند.
Infoblox توضیح می دهد که رکوردهای SPF DNS برای حدود 20000 دامنه با گزینه بیش از حد مجاز "+all" پیکربندی شده است که به هر سروری اجازه میدهد از طرف آن دامنهها ایمیل ارسال کند.
یک انتخاب مطمئنتر، استفاده از گزینه "-all" است که ارسال ایمیل به سرورهای مشخص شده توسط دامنه را محدود میکند.
MikroTik یک باتنت دیگر را تامین میکند
روش مصالحه همچنان نامشخص است، اما Infoblox میگوید آنها «نسخههای مختلفی را تحت تأثیر قرار دادهاند، از جمله نسخههای اخیر میانافزار [MikroTik]».
روترهای MikroTik به قدرتمند بودن معروف هستند و عوامل تهدید آنها را هدف قرار میدهند تا بات نتهایی ایجاد کنند که قادر به حملات بسیار قدرتمند هستند.
تابستان گذشته، ارائه دهنده خدمات ابری OVHcloud، باتنتی از دستگاههای MikroTik به خطر افتاده را مقصر حمله انکار خدمات گستردهای دانست که به رکورد 840میلیون بسته در ثانیه رسید.
علیرغم ترغیب صاحبان دستگاههای MikroTik برای بهروزرسانی سیستمها، بسیاری از روترها به دلیل نرخ وصله بسیار پایین برای مدت طولانی آسیبپذیر هستند.
باتنت در این مورد، دستگاهها را بهعنوان پراکسیهای SOCKS4 برای راهاندازی حملات DDoS، ارسال ایمیلهای فیشینگ، استخراج دادهها و به طور کلی کمک به پنهان کردن منشاء ترافیک مخرب پیکربندی کرد.
Infoblox میگوید: «اگرچه باتنت متشکل از 13000 دستگاه است، پیکربندی آنها بهعنوان پراکسیهای SOCKS به دهها یا حتی صدها هزار دستگاه در معرض خطر اجازه میدهد تا از آنها برای دسترسی به شبکه استفاده کنند، که به طور قابلتوجهی مقیاس بالقوه و تأثیر عملیات باتنت را تقویت میکند».
به دارندگان دستگاه MikroTik توصیه میشود که آخرین به روزرسانی سیستم عامل را برای مدل خود اعمال کنند، اعتبار حساب کاربری پیش فرض مدیریت را تغییر دهند و در صورت عدم نیاز، دسترسی از راه دور به کنترل پنلها را ببندند.
منبع
bleepingcomputer