یک بات نت تازه شناسایی شده متشکل از حدود ۱۳ هزار دستگاه میکروتیک (MikroTik) از پیکربندی نادرست رکوردهای سرور نام دامنه (name server) استفاده میکند تا با جعل حدود ۲۰ هزار دامنه وب، محافظتهای ایمیل را دور بزند و به توزیع بدافزار بپردازد.
تهدید کننده از یک رکورد DNS با پیکربندی اشتباه برای SPF استفاده میکند که برای فهرست کردن همه سرورهای مُجاز برای ارسال ایمیل از سوی یک دامنه استفاده میشود.
رکوردهای [1]SPF بهطور معمول برای تأیید این که آیا یک ایمیل از یک سرور مُجاز ارسال میشود یا خیر، استفاده میشوند. این رکوردها به دریافتکنندگان ایمیل کمک میکنند تا ایمیلهای اسپم یا جعلی را شناسایی کنند.
با این حال، در صورتی که رکوردهای SPF بهدرستی پیکربندی نشده باشند یا در معرض دستکاری قرار بگیرند، میتوانند بهعنوان یک روش برای راهاندازی حملات یا انتشار بدافزارها مورد سوءاستفاده قرار گیرند.
به گفته متخصصان شرکت اتوماسیون و امنیت Infoblox، مهاجمان در این حمله از پیکربندی نادرست رکوردهای SPF سوء استفاده کردهاند. موضوع بات نتهای میکروتیک که از رکوردهای DNS SPF برای انتشار بدافزار استفاده میکنند، نشان دهنده یک تکنیک پیچیده و خطرناک در حملات سایبری میباشد.
این ایمیلهای مخرب در پایان نوامبر ۲۰۲۴ مورد توجه قرار گرفتند. برخی از این ایمیلهای جعلی از جانب شرکت حمل و نقل DHL Express ارسال شده بودند و شامل فاکتورهای جعلی و آرشیو ZIP آلوده به بدافزار بودند.
آرشیو ZIP حاوی یک فایل جاوا اسکریپت میباشد که یک اسکریپت پاورشل را راه اندازی و اجرا میکند. این اسکریپت به سرور فرماندهی و کنترل (C2) مهاجمانی متصل میشود که قبلا با هکرهای روسی زبان مرتبط بودند.
پس از تجزیه و تحلیل هدر ایمیلهای اسپم توسط Infoblox، دامنهها و آدرسهای IP بسیاری از سرورهای SMTP یافت شدند. این یافتهها منجر به شناسایی شبکه گستردهای متشکل از ۱۳ هزار دستگاه میکروتیک آلوده شد که بخشی از یک بات نت بزرگ بودند.
متخصصان دریافتند که رکوردهای SPF DNS برای تقریبا ۲۰ هزار دامنه با گزینه «+all» پیکربندی شدهاند که به هر سروری اجازه ارسال ایمیل از طرف خود را میدهند. این اقدام اساساً منجر به بیاثر شدن رکوردهای SPF میشود؛ زیرا چنین تنظیماتی، جعل و ارسال انبوه ایمیلهای غیر مجاز را میسر میسازد.
متخصصان Infoblox خاطرنشان کردند که استفاده از گزینه «-all» یک انتخاب ایمنتر است، چرا که این گزینه فقط اجازه ارسال از سرورهای خاص را دارد.
هنوز مشخص نیست روش دقیق آلوده سازی دستگاههای میکروتیک به چه صورت میباشد، اما متخصصان Infoblox اظهار داشتند که این بات نت شامل دستگاههایی با نسخههای فریمور مختلف از جمله آخرین نسخه اخیر فریمور میکروتیک است.
این بات نتها از دستگاههای آلوده به عنوان یک پروکسی SOCKS4 برای انجام حملات DDoS، ارسال ایمیلهای فیشینگ، استخراج داده و پنهان کردن ترافیک مخرب استفاده میکنند.
Infoblox هشدار میدهد، اگرچه این بات نت متشکل از ۱۳ هزار دستگاه میکروتیک است، اما استفاده از آنها به عنوان پروکسی SOCKS4 به دهها یا حتی صدها هزار دستگاه هک شده اجازه میدهد تا برای دسترسی به شبکه استفاده شوند و مقیاس بالقوه تاثیر عملیات این بات نت را به شدت افزایش دهند.
[1] Sender Policy Framework
منابع
مقالات پیشنهادی:
نفوذ بات نت Mirai به روترهای SSR شرکت جونیپر
نفوذ بات نت Matrix به بیش از ۳۵ میلیون دستگاه IoT
پشتیبانی بات نت Socks5Systemz از سرویس Proxy.am
نوع جدید بات نت Mirai، روترهای صنعتی مورد هدف قرار میدهد!
گروه Volt Typhoon، مجددا فعالیت بات نت KV خود را از سر گرفت!
سوء استفاده بات نتهای FICORA و CAPSAICIN از آسیب پذیریهای قدیمی روترهای D-Link
آسیب پذیری روز صفر CVE-2024-11120 برای استقرار بات نت Mirai مورد سوء استفاده قرار گرفت