خانه » بات نت میکروتیک از تنظیمات نادرست SPF برای انتشار بدافزار سوء استفاده می‌کند

بات نت میکروتیک از تنظیمات نادرست SPF برای انتشار بدافزار سوء استفاده می‌کند

توسط Vulnerbyt_News
تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بات نت میکروتیک - DNS SPF - پیکربندی رکوردهای SPF - MikroTik

یک بات نت تازه شناسایی شده متشکل از حدود ۱۳ هزار دستگاه میکروتیک (MikroTik) از پیکربندی نادرست رکوردهای سرور نام دامنه (name server) استفاده می‌کند تا با جعل حدود ۲۰ هزار دامنه وب، محافظت‌های ایمیل را دور بزند و به توزیع بدافزار بپردازد.

تهدید کننده از یک رکورد DNS با پیکربندی اشتباه برای SPF استفاده می‌کند که برای فهرست کردن همه سرورهای مُجاز برای ارسال ایمیل از سوی یک دامنه استفاده می‌شود.

رکوردهای [1]SPF به‌طور معمول برای تأیید این که آیا یک ایمیل از یک سرور مُجاز ارسال می‌شود یا خیر، استفاده می‌شوند. این رکوردها به دریافت‌کنندگان ایمیل کمک می‌کنند تا ایمیل‌های اسپم یا جعلی را شناسایی کنند.

با این حال، در صورتی که رکوردهای SPF به‌درستی پیکربندی نشده باشند یا در معرض دستکاری قرار بگیرند، می‌توانند به‌عنوان یک روش برای راه‌اندازی حملات یا انتشار بدافزارها مورد سوءاستفاده قرار گیرند.

به گفته متخصصان شرکت اتوماسیون و امنیت Infoblox، مهاجمان در این حمله از پیکربندی نادرست رکوردهای SPF سوء استفاده کرده‌اند. موضوع بات ‌نت‌های میکروتیک که از رکوردهای DNS SPF برای انتشار بدافزار استفاده می‌کنند، نشان ‌دهنده یک تکنیک پیچیده و خطرناک در حملات سایبری می‌باشد.

این ایمیل‌های مخرب در پایان نوامبر ۲۰۲۴ مورد توجه قرار گرفتند. برخی از این ایمیل‌های جعلی از جانب شرکت حمل و نقل DHL Express ارسال شده بودند و شامل فاکتورهای جعلی و آرشیو ZIP آلوده به بدافزار بودند.

آرشیو ZIP حاوی یک فایل جاوا اسکریپت می‌باشد که یک اسکریپت پاورشل را راه اندازی و اجرا می‌کند. این اسکریپت به سرور فرماندهی و کنترل (C2) مهاجمانی متصل می‌شود که قبلا با هکرهای روسی زبان مرتبط بودند.

پس از تجزیه و تحلیل هدر ایمیل‌های اسپم توسط Infoblox، دامنه‌ها و آدرس‌های IP بسیاری از سرورهای SMTP یافت شدند. این یافته‌ها منجر به شناسایی شبکه گسترده‌ای متشکل از ۱۳ هزار دستگاه میکروتیک آلوده شد که بخشی از یک بات نت بزرگ بودند.

متخصصان دریافتند که رکوردهای SPF DNS برای تقریبا ۲۰ هزار دامنه با گزینه «+all» پیکربندی شده‌اند که به هر سروری اجازه ارسال ایمیل از طرف خود را می‌دهند. این اقدام اساساً منجر به بی‌اثر شدن رکوردهای SPF می‌شود؛ زیرا چنین تنظیماتی، جعل و ارسال انبوه ایمیل‌های غیر مجاز را میسر می‌سازد.

متخصصان Infoblox خاطرنشان کردند که استفاده از گزینه «-all» یک انتخاب ایمن‌‎تر است، چرا که این گزینه فقط اجازه ارسال از سرورهای خاص را دارد.

هنوز مشخص نیست روش دقیق آلوده سازی دستگاه‌های میکروتیک به چه صورت می‌باشد، اما متخصصان Infoblox اظهار داشتند که این بات نت شامل دستگاه‌هایی با نسخه‌های فریمور مختلف از جمله آخرین نسخه اخیر فریمور میکروتیک است.

این بات نت‌ها از دستگاه‌‌های آلوده به عنوان یک پروکسی SOCKS4 برای انجام حملات DDoS، ارسال ایمیل‌های فیشینگ، استخراج داده و پنهان کردن ترافیک مخرب استفاده می‌کنند.

Infoblox هشدار می‌دهد، اگرچه این بات نت متشکل از ۱۳ هزار دستگاه میکروتیک است، اما استفاده از آنها به عنوان پروکسی SOCKS4 به ده‌‍‌ها یا حتی صدها هزار دستگاه هک شده اجازه می‌دهد تا برای دسترسی به شبکه استفاده شوند و مقیاس بالقوه تاثیر عملیات این بات نت را به شدت افزایش دهند.

 

[1] Sender Policy Framework

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید