Infoblox Threat Intel’deki siber güvenlik uzmanları, e-posta koruma sistemlerini atlatmak ve spam kampanyaları yoluyla kötü amaçlı yazılım dağıtmak için yanlış yapılandırılmış DNS kayıtlarından yararlanan karmaşık bir botnet’i ortaya çıkardı.
Yaklaşık 13.000 ele geçirilmiş MikroTik yönlendiriciden oluşan bu botnet, küresel siber güvenliğe yönelik önemli ve kalıcı bir tehdidi temsil ediyor.
Botnet Nasıl Çalışır?
Botnet, bazıları güncel olmayan ürün yazılımı veya yanlış yapılandırılmış güvenlik ayarlarından kaynaklanan, çoğu kritik güvenlik açıkları nedeniyle ele geçirilen MikroTik yönlendiricilerden oluşan küresel bir ağ kullanıyor.
Operasyonun arkasındaki kötü niyetli aktörler, bu güvenlik açıklarından yararlanarak, kötü niyetli trafiğin kaynağını gizleyen ve faillerin tespitini zorlaştıran SOCKS proxy araçları olarak güvenliği ihlal edilmiş cihazlara izin veren komut dosyaları yüklemek için kullandı.
Infoblox raporuna göre kampanya, özellikle Gönderici Politikası Çerçevesi (SPF) kayıtlarına odaklanarak DNS yanlış yapılandırmalarından da yararlandı.
SPF kayıtları, bir alan adı için yetkili e-posta gönderenleri doğrulamak üzere tasarlanmıştır, ancak yanlış yapılandırmalar, saldırganların DKIM ve DMARC gibi korumaları atlayarak meşru gönderen alan adlarını taklit etmesine olanak tanıdı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Malspam Kampanyası
Kötü niyetli aktörler, DHL’in kimliğine bürünerek ve nakliye faturalarıyla ilgili sahte e-postalar göndererek kampanyalarını başlattılar.
“Fatura 728” veya “Takip 432” gibi konu satırlarını taşıyan e-postalar, JavaScript kötü amaçlı yazılım içeren ZIP dosyası eklerini içeriyordu.
Kötü amaçlı yazılım indirildikten sonra, Rusya dışındaki önceki şüpheli faaliyetlerle bağlantılı bir komuta ve kontrol (C2) sunucusuyla bağlantı kurmak için bir PowerShell betiği çalıştırdı.
Infoblox’un analizi, malspam kampanyasının 20.000 gönderen alanına yayıldığını ve bunların hepsinin, yetkisiz sunucuların sahte e-postalar göndermesine izin veren yanlış yapılandırılmış SPF kayıtlarından yararlandığını ortaya çıkardı.
Güvenliği ihlal edilmiş 13.000 MikroTik cihazından oluşan bir ağ ile botnet, aşağıdakiler de dahil olmak üzere bir dizi siber saldırı gerçekleştirme kapasitesine sahiptir:
- Dağıtılmış Hizmet Reddi (DDoS) Saldırıları: Sunucuların hizmetleri kesintiye uğratacak kadar yoğun trafiğe sahip olması.
- Kimlik avı ve Spam: Kötü amaçlı yazılım yaymak veya kimlik bilgilerini çalmak için büyük ölçekli e-posta kampanyaları başlatmak.
- Veri Hırsızlığı: Hassas bilgilerin yeniden satış veya daha fazla kullanım amacıyla sızdırılması.
- kripto hırsızlığı: Kripto para madenciliği yapmak için cihazın işlem gücünün ele geçirilmesi.
- Proxy İşlemleri: Siber saldırıların boyutunu artırmak ve kötü amaçlı trafiğin kaynağını maskelemek için SOCKS4 aktarıcısı görevi görür.
DNS Yanlış Yapılandırmaları: Kritik Bir Güvenlik Açığı
Kampanya, yanlış yapılandırılmış DNS kayıtlarının tehlikelerini vurguluyor. Çoğu durumda alan adları, SPF kayıtlarında “+tümü” seçeneğini kullanıyordu; bu, herhangi bir sunucunun alan adı adına e-posta göndermesine etkili bir şekilde olanak sağlıyordu.
Bu, SPF korumalarının amacını baltalayarak alan adlarını sahteciliğe karşı savunmasız bırakır.
Siber güvenlik uzmanları, sistemleri korumak için proaktif önlemlerin gerekliliğini vurguluyor:
- DNS Ayarlarını Denetle: SPF, DKIM ve DMARC yapılandırmalarının doğru şekilde uygulandığından emin olun. SPF için, yetkisiz gönderenleri kısıtlamak amacıyla “-all” ifadesini kullanın.
- Donanım Yazılımını Güncelle: Güvenlik açıklarını düzeltmek için yönlendiricinin donanım yazılımını düzenli olarak güncelleyin. Varsayılan yönetici hesaplarını devre dışı bırakın ve güçlü şifreler uygulayın.
- Anormal Aktiviteyi İzleme: Kötüye kullanım işaretleri için DNS kayıtlarının ve e-posta trafiğinin sürekli izlenmesini ayarlayın.
- Kullanıcıları Eğitin: Kimlik avı girişimlerine ilişkin farkındalığı artırın ve şüpheli e-postaların incelenmesini teşvik edin.
- Düzenli Sızma Testi Yapın: Sistemleri gelişen siber tehditlere karşı değerlendirin ve güçlendirin.
Bu botnet, birbirine bağlı bir dünyada siber güvenlik hijyeninin öneminin altını çiziyor.
Güvenliği ihlal edilmiş yönlendiricilerin ve etki alanlarının kötüye kullanılması, iş kesintilerinden büyük veri ihlallerine kadar geniş çaplı hasarlara kapı açar.
Yanlış yapılandırmalar ve güncel olmayan yazılımlar, karmaşık siber saldırganlar için giderek daha fazla giriş noktası işlevi gördüğünden, kuruluşların güvenlik uygulamalarında dikkatli olmaları gerekir.
Infoblox, DNS analizini kullanarak bu botnet’i izlemeye devam ederken, bu keşif hem işletmeler hem de bireyler için bir uyandırma çağrısıdır.
Tehdit aktörleri geliştikçe, güçlü savunmaları sürdürme sorumluluğu her zamankinden daha kritik hale geliyor.
Etki alanı güvenliği konusunda endişe duyan kuruluşlar için hızlı bir DNS denetimi, güvenlik açıklarının belirlenmesine ve düzeltilmesine yardımcı olabilir.
SPF gibi kayıtların doğru yapılandırılması ve düzenli olarak izlenmesi, botnet’lerin ve malspam kampanyalarının oluşturduğu tehditleri azaltmada temel savunma hatlarıdır.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin