Глобальная кибератака разворачивается на фоне развертывания ботнета, включающего примерно 13 000 скомпрометированных маршрутизаторов MikroTik. Этот зловещий альянс используется для проведения масштабных спам-кампаний и, потенциально, для более серьезных кибератак. Особенность этого ботнета заключается в его способности маскировать вредоносный трафик, используя скомпрометированные маршрутизаторы в качестве прокси-серверов.
Ботнет, обнаруженный компанией Infoblox, занимающейся безопасностью DNS, и получивший кодовое название "Mikro Typo", действует путем манипулирования некорректно настроенными DNS-записями. Это позволяет ему обходить традиционные методы защиты электронной почты. Первоначальное обнаружение ботнета связано с массовой рассылкой спама, которая была замечена в конце ноября 2024 года. Мошенники использовали приманку в виде поддельных счетов за перевозку грузов, чтобы обманом заставить пользователей открывать вредоносные архивы.
Схема атаки представляет собой многоступенчатый процесс. Жертвы обманным путем открывают ZIP-архив, который содержит обфусцированный файл JavaScript. Этот скрипт, в свою очередь, запускает сценарий PowerShell. Скрипт устанавливает соединение с командным сервером (C2), IP-адрес которого 62.133.60[.]137. Таким образом, осуществляется управление зараженным устройством и загрузка дополнительного вредоносного ПО.
Метод компрометации маршрутизаторов MikroTik остается не до конца ясным, но предполагается использование известных уязвимостей, таких как CVE-2023-30799, критической уязвимости, позволяющей повысить привилегии. Злоумышленники устанавливают на маршрутизаторы скрипт, который активирует прокси-серверы SOCKS. Эти прокси-серверы, работающие по протоколу SOCKS4, функционируют как TCP-перенаправители. Тревожным моментом является отсутствие аутентификации на этих прокси-серверах, что делает их легкодоступными для других киберпреступников.
В дополнение к проксированию трафика, ботнет использует ошибку в конфигурации записей SPF. Около 20 000 доменов имеют неправильно настроенные SPF-записи, использующие опцию "+all", что позволяет злоумышленникам подделывать электронные письма от имени этих доменов. Это повышает эффективность фишинговых атак и усложняет их выявление.
С помощью этого ботнета злоумышленники могут запускать DDoS-атаки, кражу данных и фишинговые кампании. Использование прокси-серверов SOCKS4 усложняет обнаружение и предотвращение атак. Аналитик по безопасности Infoblox Дэвид Брансдон предупреждает, что для эффективной защиты необходимо соблюдать меры безопасности.
Владельцам устройств MikroTik крайне важно постоянно обновлять прошивку своих маршрутизаторов. Также необходимо сменить учетные данные по умолчанию. Эти меры предосторожности могут значительно снизить риск заражения и защитить от компрометации.
Сложность обнаружения и нейтрализации ботнета "Mikro Typo" подчеркивает важность комплексных мер безопасности. Помимо обновлений прошивки и смены паролей, необходимо регулярно проверять DNS-записи. Также нужно быть крайне осторожными с входящими электронными письмами, особенно с теми, которые содержат подозрительные прикрепленные файлы.
Ботнет представляет собой значительную угрозу, демонстрируя, как уязвимости в сетевом оборудовании могут использоваться для проведения крупномасштабных кибератак. Владельцы маршрутизаторов MikroTik и пользователи сети должны быть бдительны и соблюдать рекомендации специалистов по безопасности. Только совместными усилиями можно защитить себя от подобных угроз.
Изображение носит иллюстративный характер
Ботнет, обнаруженный компанией Infoblox, занимающейся безопасностью DNS, и получивший кодовое название "Mikro Typo", действует путем манипулирования некорректно настроенными DNS-записями. Это позволяет ему обходить традиционные методы защиты электронной почты. Первоначальное обнаружение ботнета связано с массовой рассылкой спама, которая была замечена в конце ноября 2024 года. Мошенники использовали приманку в виде поддельных счетов за перевозку грузов, чтобы обманом заставить пользователей открывать вредоносные архивы.
Схема атаки представляет собой многоступенчатый процесс. Жертвы обманным путем открывают ZIP-архив, который содержит обфусцированный файл JavaScript. Этот скрипт, в свою очередь, запускает сценарий PowerShell. Скрипт устанавливает соединение с командным сервером (C2), IP-адрес которого 62.133.60[.]137. Таким образом, осуществляется управление зараженным устройством и загрузка дополнительного вредоносного ПО.
Метод компрометации маршрутизаторов MikroTik остается не до конца ясным, но предполагается использование известных уязвимостей, таких как CVE-2023-30799, критической уязвимости, позволяющей повысить привилегии. Злоумышленники устанавливают на маршрутизаторы скрипт, который активирует прокси-серверы SOCKS. Эти прокси-серверы, работающие по протоколу SOCKS4, функционируют как TCP-перенаправители. Тревожным моментом является отсутствие аутентификации на этих прокси-серверах, что делает их легкодоступными для других киберпреступников.
В дополнение к проксированию трафика, ботнет использует ошибку в конфигурации записей SPF. Около 20 000 доменов имеют неправильно настроенные SPF-записи, использующие опцию "+all", что позволяет злоумышленникам подделывать электронные письма от имени этих доменов. Это повышает эффективность фишинговых атак и усложняет их выявление.
С помощью этого ботнета злоумышленники могут запускать DDoS-атаки, кражу данных и фишинговые кампании. Использование прокси-серверов SOCKS4 усложняет обнаружение и предотвращение атак. Аналитик по безопасности Infoblox Дэвид Брансдон предупреждает, что для эффективной защиты необходимо соблюдать меры безопасности.
Владельцам устройств MikroTik крайне важно постоянно обновлять прошивку своих маршрутизаторов. Также необходимо сменить учетные данные по умолчанию. Эти меры предосторожности могут значительно снизить риск заражения и защитить от компрометации.
Сложность обнаружения и нейтрализации ботнета "Mikro Typo" подчеркивает важность комплексных мер безопасности. Помимо обновлений прошивки и смены паролей, необходимо регулярно проверять DNS-записи. Также нужно быть крайне осторожными с входящими электронными письмами, особенно с теми, которые содержат подозрительные прикрепленные файлы.
Ботнет представляет собой значительную угрозу, демонстрируя, как уязвимости в сетевом оборудовании могут использоваться для проведения крупномасштабных кибератак. Владельцы маршрутизаторов MikroTik и пользователи сети должны быть бдительны и соблюдать рекомендации специалистов по безопасности. Только совместными усилиями можно защитить себя от подобных угроз.
