В мире ИТ-безопасности обнаружено, что вредоносная кампания, получившая кодовое название Mikro Typo, использует в качестве ботнета глобальную сеть из около 13 000 взломанных маршрутизаторов MikroTik.
Описание
Исследователи обнаружили, что эта кампания использует неправильно настроенные DNS-записи для обхода защиты электронной почты, отправляя вредоносные письма с видимого легитимного источника. Обнаружено, что вредоносная кампания отправляет спам-письма, используя заманухи, связанные с грузовыми счетами, чтобы убедить получателей открыть вредоносное содержимое внутри ZIP-архива.
ZIP-файл содержит обфусцированный JavaScript-файл, который запускает сценарий PowerShell, устанавливающий исходящее соединение с командно-контрольным сервером по IP-адресу 62.133.60[.]137. Точный способ взлома маршрутизаторов MikroTik неизвестен, но уязвимыми были различные версии прошивки, в том числе версии, уязвимые к критической проблеме повышения привилегий CVE-2023-30799.
Один из исследователей указал, что взломщик установил на устройства MikroTik прокси-сервер SOCKS, который маскирует истинное происхождение вредоносного трафика и затрудняет его отслеживание. Более того, отсутствие аутентификации на этих прокси позволяет злоумышленникам использовать их для злонамеренных целей, включая распределённые атаки типа «отказ в обслуживании» и фишинговые кампании.
Кампания Mikro Typo также обнаружила неправильную конфигурацию TXT-записей SPF (система политики отправителя) для около 20 000 доменов. Записи SPF были настроены с очень разрешительной опцией «+all», что позволяет злоумышленникам отправлять почту от имени этих доменов и обойти средства защиты электронной почты.
Владельцам устройств MikroTik рекомендуется обновить маршрутизаторы и изменить учетные данные по умолчанию, чтобы предотвратить эксплуатацию их устройств. Эксперты также подчеркивают, что использование прокси-серверов SOCKS4 усложняет обнаружение и борьбу с этой вредоносной кампанией, поэтому необходимо принять надежные меры безопасности.
Indicators of Compromise
IPv4
- 62.133.60.137