详细内容或原文请订阅后点击阅览
MikroTik 僵尸网络依靠 DNS 配置错误来传播恶意软件
研究人员发现了一个由 13,000 台设备组成的 MikroTik 僵尸网络,该网络利用 DNS 漏洞伪造 20,000 个域并传播恶意软件。Infoblox 研究人员发现了一个由 13,000 台 MikroTik 设备组成的僵尸网络,该网络利用 DNS 错误配置绕过电子邮件保护,伪造大约 20,000 个域并传播恶意软件。 11 月下旬,专家们发现了一个冒充 DHL 的恶意垃圾邮件活动,该活动使用了有关 […] 的电子邮件
来源:Security Affairs _恶意软件MikroTik 僵尸网络依赖 DNS 配置错误传播恶意软件
MikroTik 僵尸网络依赖 DNS 配置错误传播恶意软件
研究人员发现一个拥有 13,000 台设备的 MikroTik 僵尸网络利用 DNS 漏洞伪造 20,000 个域名并传播恶意软件。
Infoblox 研究人员发现一个拥有 13,000 台 MikroTik 设备的僵尸网络,它利用 DNS 配置错误绕过电子邮件保护,伪造大约 20,000 个域名并传播恶意软件。
11 月下旬,专家发现了一个冒充 DHL 的恶意垃圾邮件活动,该活动使用有关货运发票的电子邮件,附加名为“Invoice###.zip”或“Tracking###.zip”的包含恶意软件的 zip 文件。
该 zip 存档包含一个经过混淆的 JavaScript 文件,该文件会创建并执行连接到 C2 (62.133.60[.]137) 的 PowerShell 脚本,该脚本具有与“先前的俄罗斯活动”相关的可疑历史。
对垃圾邮件标题的分析揭示了一个由约 13,000 台被劫持的 MikroTik 设备组成的僵尸网络,形成了一个能够执行大规模恶意活动的网络。
研究人员发现,该僵尸网络由具有各种固件版本的 MikroTik 路由器组成,包括最新版本。多年来,多位安全专家已发现 MikroTik 路由器中的多个漏洞,例如 VulnCheck 研究人员在此处详述的远程代码执行漏洞。
此处僵尸网络使用受感染的 MikroTik 设备作为 SOCKS 代理,掩盖恶意流量来源,使其他参与者无需身份验证即可利用它们,从而扩大其规模。僵尸网络的 SOCKS 代理设置使数十万台受感染的机器能够访问。
报告僵尸网络的规模使各种攻击成为可能,从 DDoS 到网络钓鱼,通过 SOCKS 代理传播恶意软件,并在掩盖攻击者身份的同时扩大 C2 操作。
当用户发送电子邮件时,接收邮件服务器会检查 SPF 记录以验证该邮件是否来自有权发送该邮件的服务器。
v=spf1 include:example.com -all
+all
Facebook
(
–