Stručnjaci za sajber bezbjednost u Infoblox Threat Intel otkrili su sofisticirani botnet koji koristi pogrešno konfigurisane DNS zapise da zaobiđe sisteme zaštite e-pošte i isporuči maliciozni softver putem spam kampanja.
Ovaj botnet, koji se sastoji od približno 13.000 narušenih MikroTik rutera, predstavlja značajnu i stalnu prijetnju globalnoj sajber sigurnosti.
Kako funkcioniše botnet
Botnet koristi globalnu mrežu MikroTik rutera, od kojih su mnogi narušeni zbog kritičnih ranjivosti, od kojih neke proizilaze iz zastarjelog firmvera ili pogrešno konfigurisanih sigurnosnih postavki.
Hakeri koji stoje iza operacije iskoristili su ove ranjivosti da instaliraju skripte koje omogućavaju narušene uređaje kao SOCKS proxy alate koji prikrivaju porijeklo malicioznog saobraćaja, što otežava identifikaciju počinioca.
Prema izvještaju Infobloxa , kampanja je također iskoristila pogrešne konfiguracije DNS-a, fokusirajući se posebno na zapise Sender Policy Framework (SPF).
SPF zapisi su dizajnirani da verifikuju autorizovane pošiljaoce e-pošte za domen, ali pogrešne konfiguracije su dozvolile napadačima da lažiraju legitimne domene pošiljaoca, zaobilazeći zaštite kao što su DKIM i DMARC.
Malspam kampanja
Hakeri su pokrenuli svoju kampanju lažno predstavljajući DHL, šaljući lažne e-poruke vezane za fakture za otpremu.
e-poruke, sa naslovima kao što su „Faktura 728“ ili „Praćenje 432“, uključuju privitke ZIP datoteka koji sadrže maliciozni softver za JavaScript.
Nakon preuzimanja, maliciozni softver je izvršio PowerShell skriptu kako bi kontaktirao komandni i kontrolni (C2) server povezan s prethodnom sumnjivom aktivnošću izvan Rusije.
Infobloxova analiza otkrila je da je malspam kampanja obuhvatala 20.000 domena pošiljalaca, a svi su koristili prednosti pogrešno konfigurisanih SPF zapisa koji su dozvoljavali neovlaštenim serverima da šalju lažne e-poruke.
Sa mrežom od 13.000 narušenih MikroTik uređaja, botnet je sposoban da izvrši niz sajber napada, uključujući:
- Distributed Denial-of-Service (DDoS) napadi : Preplavi servere sa prometom koji ometa usluge.
- Krađa identiteta i neželjena pošta : Pokretanje velikih kampanja e-pošte za širenje malicioznog softvera ili krađu kredencijala.
- Krađa podataka : Eksfiltriranje osjetljivih informacija radi preprodaje ili daljnje eksploatacije.
- Cryptojacking : Otimanje procesorske snage uređaja za rudarenje kriptovalute.
- Proxy operacije : Djeluje kao SOCKS4 relej za povećanje obima sajber napada i maskiranje porijekla malicioznog prometa.
Pogrešne konfiguracije DNS-a:
Kampanja naglašava opasnosti od nepropisno konfigurisanih DNS zapisa. U mnogim slučajevima, domeni su koristili opciju „+sve“ u svojim SPF zapisima, što efektivno omogućava bilo kom serveru da šalje e-poštu u ime domena.
Stručnjaci za sajber sigurnost naglašavaju potrebu za proaktivnim mjerama za zaštitu sistema:
- Provjera DNS postavki : Osigurajte da su SPF, DKIM i DMARC konfiguracije pravilno implementirane. Za SPF, koristite “-all” da ograničite neovlaštene pošiljaoce.
- Ažurirajte firmver : Redovno ažurirajte firmver rutera da biste zakrpili ranjivosti. Onemogućite zadane administratorske račune i stavite jake lozinke.
- Nadgledanje nenormalne aktivnosti : Postavite kontinuirano praćenje DNS zapisa i prometa e-pošte za znakove eksploatacije.
- Obrazujte korisnike : Podižite svijest o pokušajima krađe identiteta i ohrabrite preispitivanje sumnjivih e-poruka.
- Sprovedite redovno testiranje penetracije : Procijenite i ojačajte sisteme protiv evoluirajućih sajber prijetnji.
Izvor: CyberSecurityNews