Компанія Infoblox виявила небезпечну кіберзагрозу – масштабну ботнет-мережу, що складається з понад 13 000 скомпрометованих маршрутизаторів MikroTik. Зловмисники використовують вразливості в налаштуваннях DNS SPF для обходу систем захисту та проведення масових фішингових кампаній, здійснюючи підміну більш ніж 20 000 легітимних доменів.
Анатомія кібератаки: механізм поширення шкідливого ПЗ
Перші ознаки активності шкідливої мережі були зафіксовані наприкінці листопада 2024 року. Кіберзлочинці розгорнули масштабну фішингову кампанію, маскуючись під відому логістичну компанію DHL Express. Жертви отримували електронні листи з підробленими рахунками та ZIP-архівами, що містили шкідливий JavaScript-код. При відкритті файлів запускались PowerShell-скрипти, які встановлювали з’єднання з командним центром зловмисників.
Критичні вразливості DNS-конфігурації
Дослідження виявило серйозну проблему в налаштуваннях DNS SPF приблизно 20 000 доменів. Використання небезпечного параметру “+all” в DNS-записах дозволяє будь-якому серверу надсилати електронні листи від імені цих доменів, що суттєво послаблює захисні механізми електронної пошти. Фахівці з кібербезпеки наполегливо рекомендують застосовувати більш безпечну опцію “-all”, яка обмежує відправку повідомлень виключно авторизованими серверами.
Масштаби загрози та потенційні наслідки
Хоча точний механізм компрометації пристроїв MikroTik залишається нез’ясованим, до ботнету входять маршрутизатори з різними версіями прошивки, включаючи найновіші. Інфіковані пристрої використовуються як SOCKS4-проксі для здійснення DDoS-атак, розповсюдження фішингових кампаній та маскування шкідливого мережевого трафіку.
Особливу небезпеку становить можливість використання скомпрометованих маршрутизаторів як проксі-серверів, що дозволяє сотням тисяч інших заражених пристроїв маскувати свій трафік через інфраструктуру ботнету. Для мінімізації ризиків компрометації критично важливо регулярно перевіряти налаштування DNS SPF, своєчасно встановлювати оновлення безпеки та проводити аудит мережевої інфраструктури. Організаціям рекомендується впровадити багаторівневу систему захисту та постійний моніторинг мережевої активності для раннього виявлення потенційних загроз.
