Ssylka

Сеть Mikro Typo: 13000 роутеров MikroTik используются для распространения вредоносного ПО

Глобальная кибератака разворачивается на фоне развертывания ботнета, включающего примерно 13 000 скомпрометированных маршрутизаторов MikroTik. Этот зловещий альянс используется для проведения масштабных спам-кампаний и, потенциально, для более серьезных кибератак. Особенность этого ботнета заключается в его способности маскировать вредоносный трафик, используя скомпрометированные маршрутизаторы в качестве прокси-серверов.
Сеть Mikro Typo: 13000 роутеров MikroTik используются для распространения вредоносного ПО
Изображение носит иллюстративный характер

Ботнет, обнаруженный компанией Infoblox, занимающейся безопасностью DNS, и получивший кодовое название "Mikro Typo", действует путем манипулирования некорректно настроенными DNS-записями. Это позволяет ему обходить традиционные методы защиты электронной почты. Первоначальное обнаружение ботнета связано с массовой рассылкой спама, которая была замечена в конце ноября 2024 года. Мошенники использовали приманку в виде поддельных счетов за перевозку грузов, чтобы обманом заставить пользователей открывать вредоносные архивы.

Схема атаки представляет собой многоступенчатый процесс. Жертвы обманным путем открывают ZIP-архив, который содержит обфусцированный файл JavaScript. Этот скрипт, в свою очередь, запускает сценарий PowerShell. Скрипт устанавливает соединение с командным сервером (C2), IP-адрес которого 62.133.60[.]137. Таким образом, осуществляется управление зараженным устройством и загрузка дополнительного вредоносного ПО.

Метод компрометации маршрутизаторов MikroTik остается не до конца ясным, но предполагается использование известных уязвимостей, таких как CVE-2023-30799, критической уязвимости, позволяющей повысить привилегии. Злоумышленники устанавливают на маршрутизаторы скрипт, который активирует прокси-серверы SOCKS. Эти прокси-серверы, работающие по протоколу SOCKS4, функционируют как TCP-перенаправители. Тревожным моментом является отсутствие аутентификации на этих прокси-серверах, что делает их легкодоступными для других киберпреступников.

В дополнение к проксированию трафика, ботнет использует ошибку в конфигурации записей SPF. Около 20 000 доменов имеют неправильно настроенные SPF-записи, использующие опцию "+all", что позволяет злоумышленникам подделывать электронные письма от имени этих доменов. Это повышает эффективность фишинговых атак и усложняет их выявление.

С помощью этого ботнета злоумышленники могут запускать DDoS-атаки, кражу данных и фишинговые кампании. Использование прокси-серверов SOCKS4 усложняет обнаружение и предотвращение атак. Аналитик по безопасности Infoblox Дэвид Брансдон предупреждает, что для эффективной защиты необходимо соблюдать меры безопасности.

Владельцам устройств MikroTik крайне важно постоянно обновлять прошивку своих маршрутизаторов. Также необходимо сменить учетные данные по умолчанию. Эти меры предосторожности могут значительно снизить риск заражения и защитить от компрометации.

Сложность обнаружения и нейтрализации ботнета "Mikro Typo" подчеркивает важность комплексных мер безопасности. Помимо обновлений прошивки и смены паролей, необходимо регулярно проверять DNS-записи. Также нужно быть крайне осторожными с входящими электронными письмами, особенно с теми, которые содержат подозрительные прикрепленные файлы.

Ботнет представляет собой значительную угрозу, демонстрируя, как уязвимости в сетевом оборудовании могут использоваться для проведения крупномасштабных кибератак. Владельцы маршрутизаторов MikroTik и пользователи сети должны быть бдительны и соблюдать рекомендации специалистов по безопасности. Только совместными усилиями можно защитить себя от подобных угроз.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?