Специалисты компании Infoblox обнаружили масштабную вредоносную сеть, состоящую из 13 000 скомпрометированных устройств MikroTik. Злоумышленники используют некорректные настройки DNS SPF (Sender Policy Framework) для обхода защитных механизмов и распространения вредоносного программного обеспечения, осуществляя подмену более 20 000 доменов.
Механизм атаки и распространение вредоносного ПО
Первые признаки активности вредоносной сети были зафиксированы в конце ноября 2024 года. Атакующие рассылали фишинговые письма, маскируясь под известную транспортную компанию DHL Express. Сообщения содержали поддельные счета и ZIP-архивы с вредоносным JavaScript-кодом, который запускал PowerShell-скрипты для установления связи с командным центром злоумышленников.
Уязвимости в DNS-конфигурации
В ходе расследования эксперты выявили критическую проблему в настройках DNS SPF примерно 20 000 доменов. Использование опции «+all» в DNS-записях позволяет любому серверу отправлять электронные письма от имени этих доменов, что существенно снижает эффективность защитных механизмов. Специалисты рекомендуют использовать более безопасную опцию «-all», ограничивающую отправку писем определенным набором авторизованных серверов.
Масштаб и потенциальные угрозы
Несмотря на то, что точный механизм компрометации устройств MikroTik остается неизвестным, в ботнет входят маршрутизаторы с различными версиями прошивок, включая актуальные. Зараженные устройства используются в качестве SOCKS4-прокси для проведения DDoS-атак, распространения фишинговых писем и сокрытия вредоносного трафика.
Особую опасность представляет возможность использования скомпрометированных устройств в качестве прокси-серверов. Это позволяет сотням тысяч других зараженных машин маскировать свой трафик через инфраструктуру ботнета, значительно увеличивая масштаб потенциальных кибератак. Рекомендуется регулярно проверять настройки DNS SPF и следить за обновлениями безопасности сетевого оборудования для минимизации рисков компрометации.
