Globalna mreža od oko 13.000 otetih Mikrotik rutera korištena je kao botnet za reprodukciju malicioznogsoftvera putem spam kampanja, što je najnoviji dodatak listi botnetova koje pokreću MikroTik uređaji.
Aktivnost “iskorištava pogrešno konfigurisane DNS zapise kako bi prošla tehnike zaštite e-pošte”, rekao je istraživač sigurnosti Infobloxa David Brunsdon u tehničkom izvještaju objavljenom prošle sedmice. “Ovaj botnet koristi globalnu mrežu Mikrotik rutera za slanje malicioznih e-poruka koje su dizajnisane da izgledaju kao da dolaze s legitimnih domena.”
Kompanija za sigurnost DNS-a, koja je dala kodni naziv kampanji Mikro Typo , rekla je da je njena analiza proizašla iz otkrića maliciozne neželjene pošte krajem novembra 2024. koja je koristila mamce povezane s fakturom kako bi privukla primaoce da pokrenu ZIP arhivu.
ZIP datoteka sadrži zamagljeni JavaScript datoteku, koja je zatim odgovorna za pokretanje PowerShell skripte dizajnisane da pokrene izlaznu vezu sa serverom za komandu i kontrolu (C2) koji se nalazi na IP adresi 62.133.60[.]137.
Tačan početni vektor pristupa koji se koristi za infiltriranje u rutere nije poznat, ali su pogođene različite verzije firmvera, uključujući one ranjive na CVE-2023-30799 , kritični problem eskalacije privilegija koji bi se mogao iskorištavanje za postizanje proizvoljnog izvršavanja koda.
“Bez obzira na to kako su kompromitovani, čini se kao da je haker postavljao skriptu na [Mikrotik] uređaje koji omogućava SOCKS (sigurne utičnice), koji omogućavaju uređajima da rade kao TCP preusmjerivači”, rekao je Brunsdon.
„Omogućavanje SOCKS-a efektivno pretvara svaki uređaj u proxy, maskirajući pravo porijeklo malicioznog prometa i otežavajući praćenje do izvora.“
Zabrinutost je nedostatak provjere autentičnosti potrebne za korištenje ovih proksija, čime se omogućava drugim hakerima da naoružaju određene uređaje ili cijeli botnet u maliciozne svrhe, u rasponu od distribuiranih napada uskraćivanja usluge (DDoS) do phishing kampanja.
Utvrđeno je da dotična malspam kampanja iskorištava pogrešnu konfiguraciju u okviru politike pošiljatelja ( SPF ) TXT zapisa od 20.000 domena, dajući napadačima mogućnost da šalju e-poštu u ime tih domena i zaobilaze različite sigurnosne zaštite e-pošte.
Konkretno, pokazalo se da su SPF zapisi konfigurisani sa izuzetno dozvoljenom opcijom “+sve”, što u suštini poništava svrhu zaštite na prvom mestu. To takođe znači da bilo koji uređaj, kao što su kompromitovani MikroTik ruteri, može lažirati legitimnu domenu u e-pošti.
Vlasnicima MikroTik uređaja preporučuje se da svoje rutere ažuriraju i mijenjaju zadane krendicijale računa kako bi spriječili bilo kakve pokušaje eksploatacije.
„S toliko kompromitovanih MikroTik uređaja, botnet je sposoban da pokrene širok spektar malicioznih aktivnosti, od DDoS napada do krađe podataka i phishing kampanja“, rekao je Brunsdon. “Upotreba SOCKS4 proxy servera dodatno komplikuje napore u otkrivanju i ublažavanju, naglašavajući potrebu za snažnim sigurnosnim mjerama.”
Izvor:The Hacker News
