Недавно был выявлен ботнет, состоящий из 13 000 устройств MikroTik, который использует неправильно настроенные записи DNS для обхода защитных механизмов электронной почты и распространения вредоносного ПО через подмену примерно 20 000 веб-доменов.
Злоумышленники применяют некорректно настроенную DNS-запись SPF (Sender Policy Framework), используемую для идентификации серверов, имеющих право отправлять электронные письма от имени указанного домена.
Неправильная конфигурация SPF
Сообщается, что вредоносная кампания была активна в конце ноября 2024 года. Одним из приемов злоумышленников стало использование поддельных писем, выдающих себя за сообщения от компании DHL Express, в которых отправлялись фальшивые счета за транспортировку, содержащие ZIP-архив с вредоносным содержимым.
Внутри ZIP-архива находился файл на JavaScript, который запускал сценарий PowerShell, подключающийся к командно-контрольному (C2) серверу, который ранее связывался с российскими хакерами.
В заголовках спам-сообщений было обнаружено множество доменов и IP-адресов SMTP-серверов, что указывает на наличие разветвленной сети из около 13 000 взломанных устройств MikroTik, входящих в состав ботнета, как отмечают специалисты «Infoblox«https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/.
По информации Infoblox, для около 20 000 доменов настройки SPF были чрезмерно разрешительными, что позволяло любому серверу отправлять электронные письма от этих доменов.
«Такое положение дел фактически сводит на нет назначение SPF-записи, открывая возможности для подделки и несанкционированной отправки сообщений»
— говорят в Infoblox
Более безопасным подходом является использование опции -all
, которая ограничивает отправку почты только серверами, указанными в домене.

Обзор работы ботнета
Методы компрометации устройств остаются неясными, но специалисты Infoblox сообщают, что затронуты разные версии, включая самые последние обновления прошивки MikroTik.
Маршрутизаторы MikroTik известны своей высокой производительностью и часто используются злоумышленниками для создания мощных ботнетов.
Прошлым летом OVHcloud обвинил ботнет на базе MikroTik в осуществлении масштабной DDoS-атаки, достигшей рекорда в 840 миллионов пакетов в секунду.
Несмотря на призывы к владельцам устройств MikroTik обновить свои системы, многие маршрутизаторы остаются уязвимыми из-за медленного процесса выпуска патчей.
В данной ситуации ботнет использует устройства в качестве SOCKS4-прокси, что позволяет проводить DDoS-атаки, рассылать фишинговые письма, утекать данные и маскировать происхождение вредоносного трафика.
Несмотря на то, что ботнет состоит из 13 000 устройств, их конфигурация как SOCKS-прокси может позволить десяткам или даже сотням тысяч уязвимых машин подключаться к сети, значительно увеличивая масштаб и влияние операций ботнета.
Владельцам маршрутизаторов MikroTik рекомендуется установить последние обновления прошивки, изменить заводские пароли администратора и ограничить удаленный доступ к панелям управления, если он не является необходимым.
Комментарии (0)