Siber güvenlik araştırmacıları, DNS’nin yanlış yapılandırmalarından yararlanan ve Mikrotik yönlendiricilerini büyük spam kampanyaları aracılığıyla kötü amaçlı yazılım sunmak için tehlikeye atan sofistike bir Rus Botnet operasyonunu ortaya çıkardılar.
Keşif, tehdit aktörlerinin e -posta güvenlik korumalarını atlamak ve küresel ölçekte kötü niyetli yükleri dağıtmak için basit DNS hatalarını nasıl kullandıklarını ortaya koyuyor.
Soruşturma, araştırmacıların DHL Express’i taklit eden hileli nakliye faturalarını içeren bir Malspam kampanyası belirledikleri Kasım 2024’te başladı.
Kampanya, PowerShell komut dosyalarını yürüten, 62.133.60’da bulunan bir komut ve kontrol sunucusuna bağlantılar kuran gizlenmiş JavaScript içeren zip dosyaları sundu.[.]137, Küresel Bağlantı Çözümleri Ağ Altyapısı Üzerine Rus Tehdit Faaliyeti ile ilişkili.
Mikrotik Botnet Küresel Siber Saldırı Yakıtları
E -posta başlıklarının analizi, koordineli bir botnet olarak çalışan yaklaşık 13.000 kaçırılmış mikrotik cihazdan oluşan genişleyen bir ağ ortaya çıkardı.
Uzaklaştırılmış yönlendiriciler, son sürümler de dahil olmak üzere, hem bilinen güvenlik açıklarının hem de potansiyel olarak sıfır gün istismarlarının devam eden kullanımı olduğunu düşündürmektedir.
Saldırganlar bu cihazları SOCKS4 vekillerine dönüştürdü ve etkili bir şekilde kötü niyetli trafik orijinlerini maskeleyen ve tehdit operasyonları için anonimlik sağlayan açık bir röle sistemi oluşturdu.
Botnet altyapısının temel özellikleri şunlardır:
- SOCKS4 Proxy Yapılandırması Trafik yönlendirme anonimleştirmesini sağlayan.
- On binlerce ek uzlaşmış makineye destek.
- Yönlendirici nesiller arasında çok sürümlü ürün yazılımı sömürüsü.
- Kapsamlı coğrafi kapsam sağlayan küresel dağıtım.
- Açık Röle Erişilebilirliği Üçüncü Taraf Tehdit Oyuncu Kullanımına izin verir.
BOTNET’in yapılandırması, bu vekil düğümlerden trafiği yönlendirmesini, böylece saldırı altyapısının ölçeğini ve etkisini katlanarak yükseltmesi için on veya yüz binlerce ek uzlaşılmış makinenin mümkün olduğunu sağlar.
Bu dağıtılmış yaklaşım, dağıtılmış hizmet reddi saldırıları, veri eksfiltrasyonu, kimlik bilgisi doldurma işlemleri ve yaygın kötü amaçlı yazılım dağıtım kampanyaları dahil olmak üzere çeşitli kötü niyetli faaliyetleri sağlar.
Uzlaşma yöntemi muhtemelen mikrotik yönlendiricilerdeki tampon taşma güvenlik açıklarından yararlanmayı, özellikle de varsayılan yönetimsel kimlik bilgilerine sahip cihazların hedeflenmesini içerir.
Birçok yönlendirici tarihsel olarak boş şifreler kullanarak sert kodlanmış yönetici hesaplarıyla gönderilir ve ürün yazılımı güncellemelerinden sonra bile kalıcı güvenlik açıkları oluşturur.
SPF YANLIM KONFERFIGS E -posta Güvenlik Bypass’ı etkinleştirin
Kampanyanın başarısı, yaklaşık 20.000 meşru alanda yanlış yapılandırılmış Gönderen Politika Çerçeve Kayıtlarını kullanmaktan faydalandı.
Bu alanlar SPF korumaları uygularken, güvenli “-all” veya “~ all” seçenekleri yerine “+All” bayrakları ile yanlış yapılandırılmıştır.
Bu kritik yanlış yapılandırma esasen dünya çapında herhangi bir sunucuya bu alan adları adına e-posta göndermeye izin vererek SPF’nin sahne önleyici amacını tamamen yenerek yetkilendirildi.
Kritik DNS yapılandırma güvenlik açıkları tanımlanmıştır:
- SPF, kısıtlayıcı “tüm” bayraklar yerine izinli “+tüm” kullanan kayıtlar.
- 20.000 meşru organizasyonda alan adı sahte yetenekleri.
- Yüksek teslimat başarı oranlarını sağlayan e -posta güvenlik bypass.
- Potansiyel idari hatalar veya kötü amaçlı kayıt şirketi hesabı uzlaşır.
- Anti-spam koruma mekanizmalarının tamamen atlanması.
Düzgün yapılandırılmış SPF kayıtları, yetkili posta sunucularını belirtmeli ve “v = SPF1 dahil: örnek.com -all” gibi sözdizimi kullanarak yetkisiz gönderenleri reddetmelidir.
Ancak, “V = SPF1 kullanılan tehlikeye atılan alanlar, herhangi bir sunucunun alıcı posta sunucuları için meşru görünen sahte e -postaları göndermesine izin veren örnek.com +All” içerir.
Bu yanlış yapılandırmalar, kayıt şirketi hesabı erişimi olan tehdit aktörleri tarafından kazara idari hatalardan veya kötü amaçlı değişikliklerden kaynaklanabilir.
Menşe ne olursa olsun, sonuç, geleneksel spam karşıtı korumaları atlayan ve kötü niyetli yük dağıtım başarı oranlarını artıran büyük e-posta sahtekarlık işlemlerini mümkün kılar.
Çıkarımlar ve savunma önerileri
Bu keşif, botnet operasyonlarının gelişen karmaşıklığını ve uygun DNS konfigürasyon yönetiminin kritik önemini vurgulamaktadır.
Meyveden çıkarılan yönlendirici altyapısı ve DNS yanlış yapılandırmalarının kombinasyonu, azaltılmış algılama olasılığı ile büyük ölçekli kötü amaçlı yazılım dağılımını sağlayan mükemmel bir fırtına yarattı.
Kuruluşlar, uygun yapılandırmayı sağlamak için DNS SPF kayıtlarını derhal denetlemeli ve cihaz güvenlik yapılandırmalarını, özellikle internete dönük yönlendiricileri ve ağ ekipmanlarını düzenli olarak gözden geçirmelidir.
Kampanya, küçük görünüşte küçük yapılandırma hatalarının büyük güvenlik ihlallerini nasıl mümkün kılabileceğini ve hem ağ altyapısı hem de DNS yönetim sistemlerinde kapsamlı güvenlik izleme ihtiyacını vurguladığını gösteriyor.
Belirlenen botnet altyapısı, gözlemlenen Malspam kampanyalarının ötesinde çeşitli kötü amaçlı faaliyetleri destekleyebildiğinden, bu tehdidin devam eden doğası sürekli uyanıklık gerektirir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.