новый ботнет на MikroTik

Новый ботнет из 13 000 устройств MikroTik: спуфинг доменов, фишинг и скликивание рекламы

Специалисты компании Infoblox обнаружили новый ботнет, который компрометирует устройства MikroTik и эксплуатирует неправильную настройку DNS-записей для рассылки спама. По подсчетам экспертов, в бот-сеть входит 13 тыс. маршрутизаторов.

Admin без пароля — открытая дверь мошенникам

Мошенники смогли собрать армию ботнета из MikroTik благодаря нескольким критическим уязвимостям на устройствах, одна из которых — админский доступ без пароля. Ранее у маршрутизатора была жестко запрограммирована учетная админская запись с логином ‘admin’ и пустым паролем с возможностью удаленного доступа. Эту лазейку и использовали киберпреступники для заражения устройств.

Превращение в прокси

Далее злоумышленники внедряли туда скрипт, который включал SOCKS (Secure Sockets), что позволяло устройствам работать как TCP-перенаправители, и превращали их в прокси-сервера. Данная возможность позволяла маскировать вредоносный трафик и затрудняла отслеживание его источника.

Неправильная настройка DNS и рассылка спама

Вредоносная Email-активность была замечена еще в конце ноября 2024 года. Тогда злоумышленники от имени DHL рассылали поддельные счета-фактуры в формате архива с вредоносной начинкой в виде трояна.

Для этого кибермошенники использовали неправильную настройку DNS-записей в почтовых сервисах компаний и применяли спуфинг доменов для подделки отправителя. Для отправки вредоносных электронных писем участвовала сеть из зараженных маршрутизаторов Mikrotik, которые, как предполагается, приходили с легитимных доменов.

Как работает DNS

Почтовые серверы используют несколько типов записей DNS TXT, включая технологию проверки электронной почты DomainKey Identified Mail (DKIM-подпись) и расширение Sender Policy Framework (SPF), а также технологию защиты от спама и фишинга DMARC (Domain-based Message Authentication, Reporting, and Conformance. Однако в этом случае неправильная конфигурация в SPF-записях доменов дала мошенникам, распространяющим спам, возможность обойти эти средства защиты.

При отправке письма почтовый сервер проверяет SPF-запись, чтобы убедиться, что сообщение пришло с авторизованного сервера. Если электронное письмо не проходит эту проверку, оно попадает в «Спам» или отклоняется. Информация SPF публикуется в записях DNS домена в виде записи TXT.

Как мошенникам удалось подделать 20 тыс. доменов

Данная мошенническая операция была масштабной и охватывала около 20 000 доменов-отправителей. Вместо указания конкретного домена, который мог отправлять письма, компании неверно настроили отправку и указали, что любой адрес может их отправлять от лица компании.

— Пример правильно настроенной записи SPF для example.com:

v=spf1 include:example.com -all

В данном случае только серверам, которые соответствуют указанному домену, разрешено отправлять электронные письма для example.com. «-all» в конце означает, что любой другой сервер, пытающийся отправить электронные письма от имени example.com, будет отклонен.

— Пример неправильно настроенной записи SPF, которую и эксплуатировали злоумышленники:

v=spf1 include:example.com +all

В этом случае «+all» в конце означает, что любой сервер может отправлять электронные письма от имени example.com.

Итог

По мнению экспертов Infoblox, мошенники используют ботнет для выполнения DDoS-атак, рассылки фишинговых писем, кражи данных, включая персональные, скликивания рекламы и маскировки вредоносного трафика. Также они предполагают, что бот-сеть принадлежит российской группировке хакеров.


Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.


Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий