13.000 Mikrotik cihazdan oluşan yeni keşfedilen bir botnet, e -posta korumalarını atlamak ve yaklaşık 20.000 web alanını taklit ederek kötü amaçlı yazılım sunmak için alan adı sunucusu kayıtlarında yanlış yapılandırma kullanır.
Tehdit oyuncusu, bir alan adına e -posta göndermeye yetkili tüm sunucuları listelemek için kullanılan Gönderen İlkesi Çerçevesi (SPF) için yanlış yapılandırılmış bir DNS kaydından yararlanır.
DNS güvenlik şirketi Infoblox'a göre, Malspam kampanyası Kasım 2024'ün sonlarında aktifti. Bazı e -postalar DHL Express Nakliye Şirketi'ni taklit etti ve kötü niyetli bir yük içeren bir zip arşivi ile sahte yük faturaları teslim etti.
Zip ekinin içinde bir PowerShell betiği oluşturan ve çalıştıran bir JavaScript dosyası vardı. Komut dosyası, daha önce Rus bilgisayar korsanlarına bağlı bir alanda Tehdit Oyuncusu'nun Komut ve Kontrol (C2) sunucusuyla bir bağlantı kurar.
“Birçok spam e -postasının başlıkları çok çeşitli alan adı ve SMTP sunucusu IP adresi ortaya çıkardı ve tüm büyük botnetin bir parçası olan yaklaşık 13.000 kaçırılmış mikrotik cihazdan oluşan genişleyen bir ağ ortaya çıkardığımızı fark ettik” diye açıklıyor.
Infoblox, yaklaşık 20.000 alan için SPF DNS kayıtlarının, herhangi bir sunucunun bu alan adları adına e -posta göndermesine izin veren aşırı izin veren "+tüm" seçeneği ile yapılandırıldığını açıklar.
"Bu esasen bir SPF kaydına sahip olma amacını yener, çünkü kimlik sahtekarlığı ve yetkisiz e -posta gönderme kapısını açar" - Infoblox
Daha güvenli bir seçim, etki alanı tarafından belirtilen sunuculara e-posta göndermeyi sınırlayan "-LL" seçeneğini kullanmaktır.
Uzlaşma yöntemi belirsizliğini koruyor, ancak Infoblox "son [Mikrotik] ürün yazılımı sürümleri de dahil olmak üzere çeşitli versiyonların etkilendiğini gördüklerini" söylüyor.
Mikrotik yönlendiriciler, güçlü ve tehdit aktörlerinin çok güçlü saldırılar yapabilen botnetler yaratmalarını hedefledikleri biliniyor.
Geçen yaz, bulut hizmetleri sağlayıcısı Ovhcloud, saniyede 840 milyon paket rekoru zirveye çıkaran büyük bir hizmet reddi saldırısı için tehlikeye atılan Mikrotik cihazlardan oluşan bir botnet suçladı.
Mikrotik cihaz sahiplerini sistemleri güncellemeye çağırmasına rağmen, yönlendiricilerin çoğu çok yavaş bir yama oranı nedeniyle uzun süre boyunca savunmasız kalıyor.
Bu durumda botnet, DDOS saldırıları başlatmak, kimlik avı e -postaları göndermek, verileri dışarı atmak ve genellikle kötü amaçlı trafiğin kökenini maskelemeye yardımcı olmak için cihazları Socks4 vekilleri olarak yapılandırdı.
“BotNet 13.000 cihazdan oluşmasına rağmen, çorap vekilleri olarak yapılandırmaları, onlar ve hatta yüz binlerce uzlaşmış makinenin ağ erişimi için kullanmasına izin vererek BOTNET'in operasyonlarının potansiyel ölçeğini ve etkisini önemli ölçüde artırmaya izin veriyor” diyor.
Mikrotik aygıt sahiplerine modelleri için en son ürün yazılımı güncellemesini uygulamaları, varsayılan yönetici hesabı kimlik bilgilerini değiştirmeleri ve ihtiyaç duyulmadığı takdirde kontrol panellerine uzaktan erişimi kapatmaları tavsiye edilir.
FBI, binlerce ABD bilgisayarından Çin plugx kötü amaçlı yazılımlarını siler
Yeni Mirai Botnet, sıfır gün istismarları ile endüstriyel yönlendiricileri hedefliyor
Kötü Yazılım Botnets Son Saldırılarda Eski D-Link Yönlendiricilerini Söküyor
Yeni Botnet NVRS, TP-Link Yönlendiricilerdeki Güvenlik Açıklarını İstismar
Badbox kötü amaçlı yazılım Botnet, bozulmaya rağmen 192.000 Android cihaza bulaşır
Kaynak: Bleeping Computer