Globalna mreža od oko 13.000 otetih MikroTik rutera korištena je kao botnet za maliciozne softvera putem spam kampanja, što je najnoviji dodatak listi botnetova koje pokreću MikroTik uređaji.
Aktivnost “iskorištava pogrešno konfigurisane DNS zapise kako bi prošla tehnike zaštite e-pošte”, rekao je istraživač sigurnosti Infobloxa David Brunsdon u tehničkom izvještaju objavljenom prošle sedmice. “Ovaj botnet koristi globalnu mrežu Mikrotik rutera za slanje malicioznih e-poruka koje su dizajnirane da izgledaju kao da dolaze sa legitimnih domena.”
Kompanija za sigurnost DNS-a, koja je dala kodni naziv kampanji Mikro Typo , rekla je da je njena analiza proizašla iz otkrića maliciozne neželjene pošte krajem novembra 2024. koja je koristila mamce povezane s fakturom kako bi privukla primaoce da pokrenu ZIP arhivu.
ZIP datoteka sadrži zamagljeni JavaScript datoteku, koja je zatim odgovorna za pokretanje PowerShell skripte dizajnirane da pokrene izlaznu vezu sa serverom za komandu i kontrolu (C2) koji se nalazi na IP adresi 62.133.60[.]137.
Tačan početni vektor pristupa koji se koristi za infiltriranje u rutere nije poznat, ali su pogođene različite verzije firmvera, uključujući one ranjive na CVE-2023-30799 , kritični problem eskalacije privilegija koji bi se mogao zloupotrijebiti za postizanje proizvoljnog izvršavanja koda.
“Bez obzira na to kako su narušeni, čini se kao da je haker postavljao skriptu na [Mikrotik] uređaje koji omogućava SOCKS (sigurne utičnice), koji omogućavaju uređajima da rade kao TCP preusmjerivači”, rekao je Brunsdon.
„Omogućavanje SOCKS-a efektivno pretvara svaki uređaj u proxy, maskirajući pravo porijeklo malicioznog prometa i otežavajući praćenje do izvora.“
Zabrinutost je nedostatak autentifikacije potrebne za korištenje ovih proksija, čime se omogućava drugim hakerima da naoružaju određene uređaje ili cijeli botnet u maliciozne svrhe, u rasponu od distribuisanih napada uskraćivanja usluge (DDoS) do phishing kampanja.
Utvrđeno je da dotična malspam kampanja iskorištava pogrešnu konfiguraciju u okviru politike pošiljaoca (SPF) TXT zapisa od 20.000 domena, dajući napadačima mogućnost da šalju e-poštu u ime tih domena i zaobilaze različite sigurnosne zaštite e-pošte.
Konkretno, pokazalo se da su SPF zapisi konfigurisani sa izuzetno dozvoljenom opcijom “+all“, što u suštini poništava svrhu zaštite na prvom mestu. To takođe znači da bilo koji uređaj, kao što su narušeni MikroTik ruteri, može lažirati legitimnu domenu u e-pošti.
Vlasnicima MikroTik uređaja preporučuje se da svoje rutere ažuriraju i mijenjaju zadane pristupne podatke kako bi spriječili bilo kakve pokušaje eksploatacije.
Izvor: The Hacker News
