Ботнет MikroTik использует уязвимость в DNS для распространения вирусов

Недавно обнаруженный ботнет, состоящий из 13 000 устройств MikroTik, использует ошибочную настройку записей серверов доменных имен (DNS), чтобы обходить системы защиты электронной почты и распространять вредоносное ПО, подделывая около 20 000 доменов.

Злоумышленники используют уязвимость в некорректно настроенной записи SPF (Sender Policy Framework), предназначенной для указания всех серверов, которые могут отправлять электронные письма от имени определенного домена.

Некорректная запись SPF

По данным компании Infoblox, специализирующейся на безопасности DNS, данная кампания по рассылке вредоносных писем была активна в конце ноября 2024 года. Некоторые из писем выдавали себя за отправления от компании DHL Express и содержали фальшивые счета за доставку с ZIP-архивом, содержащим вредоносный файл.

Внутри архива находился файл JavaScript, который собирал и запускал PowerShell-скрипт, который в свою очередь устанавливал соединение с сервером управления и контроля (C2), связанным ранее с российскими хакерами.

В компании Infoblox пояснили:

Заголовки многочисленных спам-писем показали обширный набор доменов и IP-адресов SMTP-серверов. Обнаружена разветвленная сеть из примерно 13 000 взломанных устройств MikroTik, которые являются частью крупного ботнета.

Компания отметила, что SPF-записи для примерно 20 000 доменов были настроены с использованием слишком разрешающей опции +all, которая позволяет любому серверу отправлять письма от имени этих доменов.

Infoblox сообщает:

Эта настройка фактически сводит на нет цель использование SPF-записи, так как открывает возможность для подделки и несанкционированной отправки писем.

Более безопасный вариант — использовать параметр -all, который ограничивает отправку писем только серверами, указанными в записи домена.

Устройства MikroTik в очередной раз используются для ботнета

Метод компрометации устройств остается неясным, но Infoblox сообщает, что уязвимы устройства с разными версиями прошивки, включая последние релизы от MikroTik.

Роутеры MikroTik известны своей мощностью, и злоумышленники регулярно используют их для создания ботнетов, способных на очень масштабные атаки.

Так, прошлым летом провайдер облачных сервисов OVHcloud обвинил ботнет из взломанных устройств MikroTik в проведении мощнейшей атаки типа «отказ в обслуживании» (DDoS), которая достигла рекордных 840 миллионов пакетов в секунду (Mpps).

Несмотря на призывы к владельцам устройств MikroTik обновить системы, многие роутеры остаются уязвимыми на протяжении длительного времени из-за низкой скорости установки исправлений.

В данном случае ботнет настроил устройства как прокси-серверы SOCKS4 для запуска DDoS-атак, отправки фишинговых писем, кражи данных и маскировки источника вредоносного трафика.

Infoblox добавляет:

Хотя ботнет состоит из 13 000 устройств, их настройка как SOCKS-прокси позволяет десяткам или даже сотням тысяч зараженных машин использовать их для доступа к сети, что значительно увеличивает масштаб и последствия работы ботнета.

Владельцам устройств MikroTik рекомендуется обновить прошивку до последней версии, изменить учетные данные для доступа к аккаунту администратора и по возможности закрыть удаленный доступ к панели управления.