HackerNews 编译,转载请注明出处:
全球约有13,000台MikroTik路由器被劫持,组成了一个僵尸网络,用于通过垃圾邮件活动传播恶意软件。这成为了MikroTik设备驱动的僵尸网络列表中的最新案例。
“该活动利用了配置错误的DNS记录,从而绕过电子邮件安全防护技术。”网络安全公司Infoblox的研究员David Brunsdon在其上周发布的技术报告中指出,“这个僵尸网络利用全球范围内的MikroTik路由器发送恶意邮件,这些邮件被伪装成来自合法域名的邮件。” 此次行动被命名为“Mikro Typo”,其调查始于2024年11月底发现的一起恶意软件传播活动。该活动利用与货运发票相关的诱饵,诱使收件人打开一个ZIP文件,从而触发恶意软件。
ZIP文件中包含一个经过混淆的JavaScript文件,该文件会进一步运行一个PowerShell脚本,从而与位于IP地址62.133.60[.]137的命令与控制(C2)服务器建立连接。尽管入侵路由器的具体方式尚不明确,但多个固件版本受到了影响,其中包括存在CVE-2023-30799漏洞的版本。这是一个高危权限提升漏洞,可能被攻击者利用以执行任意代码。
“无论这些设备是如何被入侵的,攻击者似乎都在MikroTik设备上植入了一个脚本,启用SOCKS(安全套接字)功能,使设备能够作为TCP转发器运行。”Brunsdon解释道,“启用SOCKS后,每台设备实际上变成了一个代理服务器,从而掩盖了恶意流量的真实来源,使其更难被追踪。” 更令人担忧的是,这些代理的使用无需身份验证,这意味着其他威胁行为者可以利用这些设备或整个僵尸网络,将其用于各种恶意活动,包括分布式拒绝服务(DDoS)攻击和网络钓鱼活动。
此次恶意软件传播活动还被发现利用了20,000个域名的发件人策略框架(SPF)TXT记录配置错误。攻击者通过这些配置错误,能够以这些域名的名义发送邮件,并绕过各种电子邮件安全防护机制。具体而言,这些SPF记录被配置为极其宽松的“+all”选项,这使得原本用于安全防护的机制形同虚设。这也意味着任何设备(如被劫持的MikroTik路由器)都可以在电子邮件中伪装成合法域名。
建议MikroTik设备所有者保持路由器固件的最新状态,并更改默认账户凭证,以防止被攻击者利用。“鉴于如此多的MikroTik设备被劫持,该僵尸网络能够发起广泛的恶意活动,从DDoS攻击到数据盗窃和网络钓鱼。”Brunsdon指出,“SOCKS4代理的使用进一步增加了检测和缓解的难度,凸显了采取强有力安全措施的必要性。”
