一个由大约 13,000 台被劫持的 Mikrotik 路由器组成的全球网络被用作僵尸网络,通过垃圾邮件传播恶意软件,这是由 MikroTik 设备驱动的僵尸网络名单上的最新成员。
Infoblox 安全研究员 David Brunsdon 在上周发布的一份技术报告中称,该活动 “利用了配置错误的 DNS 记录来通过电子邮件保护技术”。“这个僵尸网络利用 Mikrotik 路由器的全球网络发送恶意电子邮件,这些邮件被设计成似乎来自合法域名。”
这家 DNS 安全公司将该活动代号为 Mikro Typo,该公司表示,其分析源于 2024 年 11 月底发现的一个恶意垃圾邮件活动,该活动利用与货运发票相关的诱惑,诱使收件人启动 ZIP 压缩包有效载荷。
ZIP 文件包含一个混淆的 JavaScript 文件,该文件随后负责运行一个 PowerShell 脚本,该脚本的目的是启动与位于 IP 地址 62.133.60[.]137的命令与控制 (C2) 服务器的出站连接。
用于渗透路由器的确切初始访问载体尚不清楚,但各种固件版本都受到了影响,包括那些易受 CVE-2023-30799 影响的版本,这是一个关键的权限升级问题,可被滥用以实现任意代码执行。
Brunsdon说:“不管它们是如何被攻破的,行为者似乎在[Mikrotik]设备上放置了一个脚本,该脚本启用了SOCKS(安全套接字),允许设备作为TCP重定向器运行。”
“启用 SOCKS 可以有效地将每台设备变成代理,从而掩盖恶意流量的真正来源,并使追溯源头变得更加困难。”
更令人担忧的是,使用这些代理服务器不需要身份验证,因此其他威胁行为者可以利用特定设备或整个僵尸网络来达到恶意目的,包括分布式拒绝服务(DDoS)攻击和网络钓鱼活动。
目前发现的恶意垃圾邮件活动利用了 20,000 个域的发件人策略框架 (SPF) TXT 记录中的错误配置,使攻击者能够代表这些域发送电子邮件,并绕过各种电子邮件安全保护措施。
具体来说,SPF 记录被配置为极度放任的 “+all ”选项,这从根本上违背了设置该保护措施的初衷。这也意味着任何设备,如被入侵的 MikroTik 路由器,都可以在电子邮件中欺骗合法域名。
建议MikroTik设备的所有者及时更新路由器并更改默认帐户凭据,以防止任何利用企图。
Brunsdon说:“有了这么多被入侵的MikroTik设备,僵尸网络就有能力发起各种恶意活动,从DDoS攻击到数据窃取和网络钓鱼活动。SOCKS4代理的使用使检测和缓解工作变得更加复杂,突出了采取强有力的安全措施的必要性。”