Ele geçirilen yaklaşık 13.000 Mikrotik yönlendiriciden oluşan küresel bir ağ, MikroTik cihazları tarafından desteklenen botnet’lerin listesine en son eklenen, spam kampanyaları aracılığıyla kötü amaçlı yazılımları yaymak için bir botnet olarak kullanıldı.
“al” etkinliği[s] Infoblox güvenlik araştırmacısı David Brunsdon, geçen hafta yayınlanan teknik bir raporda, e-posta koruma tekniklerini geçirmek için yanlış yapılandırılmış DNS kayıtlarının avantajından yararlanıyor” dedi. “Bu botnet, meşru alanlardan geliyormuş gibi görünen kötü amaçlı e-postalar göndermek için Mikrotik yönlendiricilerden oluşan küresel bir ağ kullanıyor.” .”
Kampanyaya kod adı veren DNS güvenlik şirketi Mikro Yazım Hatasıanalizinin, Kasım 2024’ün sonlarında, alıcıları bir ZIP arşivi yükünü başlatmaya ikna etmek için navlun faturasıyla ilgili tuzaklardan yararlanan bir malspam kampanyasının keşfedilmesinden kaynaklandığını söyledi.
ZIP dosyası, 62.133.60 IP adresinde bulunan bir komut ve kontrol (C2) sunucusuna giden bağlantı başlatmak üzere tasarlanmış bir PowerShell betiğini çalıştırmaktan sorumlu olan, gizlenmiş bir JavaScript dosyası içerir.[.]137.
Yönlendiricilere sızmak için kullanılan tam başlangıç erişim vektörü bilinmiyor, ancak keyfi kod yürütme sağlamak için kötüye kullanılabilecek kritik bir ayrıcalık yükseltme sorunu olan CVE-2023-30799’a karşı savunmasız olanlar da dahil olmak üzere çeşitli donanım yazılımı sürümleri etkilendi.
“Nasıl ele geçirilmiş olursa olsun, oyuncu sanki senaryoyu ekrana yerleştirmiş gibi görünüyor. [Mikrotik] Brunsdon, cihazların TCP yeniden yönlendiricileri olarak çalışmasına olanak tanıyan SOCKS’i (Güvenli Yuvalar) etkinleştiren cihazlar” dedi.
“SOCKS’un etkinleştirilmesi, her cihazı etkili bir şekilde bir proxy’ye dönüştürerek, kötü amaçlı trafiğin gerçek kaynağını maskeliyor ve kaynağa kadar izini sürmeyi zorlaştırıyor.”
Bu proxy’leri kullanmak için gereken kimlik doğrulama eksikliği, diğer tehdit aktörlerinin belirli cihazları veya tüm botnet’i, dağıtılmış hizmet reddi (DDoS) saldırılarından kimlik avı kampanyalarına kadar kötü amaçlarla silah haline getirmesine olanak tanıması endişeyi artırıyor.
Söz konusu malspam kampanyasının, 20.000 alan adının gönderen politikası çerçevesi (SPF) TXT kayıtlarındaki yanlış yapılandırmadan yararlanarak saldırganlara bu alanlar adına e-posta gönderme ve çeşitli e-posta güvenlik korumalarını atlama olanağı sağladığı tespit edildi.
Spesifik olarak, SPF kayıtlarının son derece hoşgörülü “+tümü” seçeneğiyle yapılandırıldığı ve esasen ilk etapta korumaya sahip olma amacını boşa çıkardığı ortaya çıktı. Bu aynı zamanda ele geçirilen MikroTik yönlendiricileri gibi herhangi bir cihazın e-postadaki meşru etki alanını taklit edebileceği anlamına da gelir.
MikroTik cihaz sahiplerinin, herhangi bir istismar girişimini önlemek için yönlendiricilerini güncel tutmaları ve varsayılan hesap kimlik bilgilerini değiştirmeleri önerilir.
Brunsdon, “Çok sayıda MikroTik cihazının güvenliği ihlal edildiğinden, botnet, DDoS saldırılarından veri hırsızlığı ve kimlik avı kampanyalarına kadar çok çeşitli kötü amaçlı faaliyetleri başlatma kapasitesine sahip” dedi. “SOCKS4 proxy’lerinin kullanılması, tespit ve hafifletme çabalarını daha da karmaşık hale getirerek sağlam güvenlik önlemlerine olan ihtiyacın altını çiziyor.”