Специалисты компании Infoblox обнаружили новый ботнет, который компрометирует устройства MikroTik и эксплуатирует неправильную настройку DNS-записей для рассылки спама. По подсчетам экспертов, в бот-сеть входит 13 тыс. маршрутизаторов.
Admin без пароля — открытая дверь мошенникам
Мошенники смогли собрать армию ботнета из MikroTik благодаря нескольким критическим уязвимостям на устройствах, одна из которых — админский доступ без пароля. Ранее у маршрутизатора была жестко запрограммирована учетная админская запись с логином ‘admin’ и пустым паролем с возможностью удаленного доступа. Эту лазейку и использовали киберпреступники для заражения устройств.
Превращение в прокси
Далее злоумышленники внедряли туда скрипт, который включал SOCKS (Secure Sockets), что позволяло устройствам работать как TCP-перенаправители, и превращали их в прокси-сервера. Данная возможность позволяла маскировать вредоносный трафик и затрудняла отслеживание его источника.
Неправильная настройка DNS и рассылка спама
Вредоносная Email-активность была замечена еще в конце ноября 2024 года. Тогда злоумышленники от имени DHL рассылали поддельные счета-фактуры в формате архива с вредоносной начинкой в виде трояна.
Для этого кибермошенники использовали неправильную настройку DNS-записей в почтовых сервисах компаний и применяли спуфинг доменов для подделки отправителя. Для отправки вредоносных электронных писем участвовала сеть из зараженных маршрутизаторов Mikrotik, которые, как предполагается, приходили с легитимных доменов.
Как работает DNS
Почтовые серверы используют несколько типов записей DNS TXT, включая технологию проверки электронной почты DomainKey Identified Mail (DKIM-подпись) и расширение Sender Policy Framework (SPF), а также технологию защиты от спама и фишинга DMARC (Domain-based Message Authentication, Reporting, and Conformance. Однако в этом случае неправильная конфигурация в SPF-записях доменов дала мошенникам, распространяющим спам, возможность обойти эти средства защиты.
При отправке письма почтовый сервер проверяет SPF-запись, чтобы убедиться, что сообщение пришло с авторизованного сервера. Если электронное письмо не проходит эту проверку, оно попадает в «Спам» или отклоняется. Информация SPF публикуется в записях DNS домена в виде записи TXT.
Как мошенникам удалось подделать 20 тыс. доменов
Данная мошенническая операция была масштабной и охватывала около 20 000 доменов-отправителей. Вместо указания конкретного домена, который мог отправлять письма, компании неверно настроили отправку и указали, что любой адрес может их отправлять от лица компании.
— Пример правильно настроенной записи SPF для example.com:
v=spf1 include:example.com -all
В данном случае только серверам, которые соответствуют указанному домену, разрешено отправлять электронные письма для example.com. «-all» в конце означает, что любой другой сервер, пытающийся отправить электронные письма от имени example.com, будет отклонен.
— Пример неправильно настроенной записи SPF, которую и эксплуатировали злоумышленники:
v=spf1 include:example.com +all
В этом случае «+all» в конце означает, что любой сервер может отправлять электронные письма от имени example.com.
Итог
По мнению экспертов Infoblox, мошенники используют ботнет для выполнения DDoS-атак, рассылки фишинговых писем, кражи данных, включая персональные, скликивания рекламы и маскировки вредоносного трафика. Также они предполагают, что бот-сеть принадлежит российской группировке хакеров.

Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.