Cybersicherheitsforscher von Infoblox haben ein besorgniserregendes Botnet aufgedeckt, das mehr als 13.000 kompromittierte MikroTik-Router umfasst. Die Angreifer nutzen fehlerhafte DNS SPF-Konfigurationen (Sender Policy Framework), um Sicherheitsmechanismen zu umgehen und Schadsoftware zu verbreiten. Dabei werden mehr als 20.000 Domains durch DNS-Spoofing missbraucht.
Anatomie der Angriffskampagne
Die Malware-Kampagne wurde erstmals Ende November 2024 identifiziert und zeichnet sich durch sophistizierte Phishing-Angriffe aus. Die Cyberkriminellen tarnen ihre Aktivitäten unter der Identität von DHL Express und versenden gefälschte Rechnungen. Diese enthalten kompromittierte ZIP-Archive mit bösartigem JavaScript-Code, der PowerShell-Skripte zur Kommunikation mit Command-and-Control-Servern ausführt.
Kritische DNS-Konfigurationsfehler
Die Untersuchungen offenbarten eine weitreichende Schwachstelle in den DNS SPF-Einstellungen von etwa 20.000 Domains. Der entscheidende Fehler liegt in der Verwendung der DNS-Option „+all“, die es praktisch jedem Server ermöglicht, E-Mails im Namen dieser Domains zu versenden. Sicherheitsexperten empfehlen dringend die Implementierung der restriktiveren Option „-all“, die den E-Mail-Versand auf autorisierte Server beschränkt.
Technische Implikationen und Bedrohungspotential
Die kompromittierten MikroTik-Geräte, die verschiedene Firmware-Versionen aufweisen, werden als SOCKS4-Proxys für verschiedene maligne Aktivitäten missbraucht. Dies umfasst DDoS-Attacken, Phishing-Kampagnen und die Verschleierung von schädlichem Netzwerkverkehr. Besonders beunruhigend ist die Fähigkeit des Botnets, als Proxy-Infrastruktur für weitere infizierte Systeme zu fungieren, wodurch sich die Reichweite potenzieller Cyberangriffe exponentiell vergrößert.
Zur Minimierung der Bedrohung durch diese weitreichende Kampagne empfehlen Sicherheitsexperten eine regelmäßige Überprüfung der DNS SPF-Konfigurationen sowie die zeitnahe Installation von Sicherheitsupdates für Netzwerkgeräte. Organisationen sollten ihre Netzwerkinfrastruktur aktiv auf verdächtige Aktivitäten überwachen und robuste Sicherheitsrichtlinien implementieren, um sich vor dieser evolierenden Bedrohung zu schützen.
