Un botnet nouvellement découvert de 13 000 appareils MikroTik utilise une mauvaise configuration dans les enregistrements du serveur de noms de domaine pour contourner les protections de messagerie et diffuser des logiciels malveillants en usurpant environ 20 000 domaines Web.

L’auteur de la menace tire parti d’un enregistrement DNS mal configuré pour le sender policy framework (SPF) utilisé pour répertorier tous les serveurs autorisés à envoyer des e-mails au nom d’un domaine.

Enregistrement SPF mal configuré
Selon la société de sécurité DNS Infoblox, la campagne de malspam était active fin novembre 2024. Certains des courriels usurpaient l’identité de la compagnie maritime DHL Express et livraient de fausses factures de fret avec une archive ZIP contenant une charge utile malveillante.

À l’intérieur de la pièce jointe ZIP se trouvait un fichier JavaScript qui assemble et exécute un script PowerShell. Le script établit une connexion au serveur de commande et de contrôle (C2) de l’auteur de la menace sur un domaine précédemment lié à des pirates informatiques russes.

” Les en-têtes des nombreux spams ont révélé une vaste gamme de domaines et d’adresses IP de serveurs SMTP, et nous avons réalisé que nous avions découvert un vaste réseau d’environ 13 000 appareils MikroTik détournés, tous faisant partie d’un botnet de grande taille », explique Infoblox.

Infoblox explique que les enregistrements DNS SPF pour environ 20 000 domaines ont été configurés avec l’option trop permissive « +tous », qui permet à n’importe quel serveur d’envoyer des e-mails au nom de ces domaines.

« Cela va essentiellement à l’encontre de l’objectif d’avoir un enregistrement SPF, car cela ouvre la porte à l’usurpation d’identité et à l’envoi d’e-mails non autorisés » – Infoblox

Un choix plus sûr consiste à utiliser l’option « -all », qui limite l’envoi d’e-mails aux serveurs spécifiés par le domaine.

Vue d’ensemble du fonctionnement du botnet

MikroTik alimente encore un autre botnet
La méthode de compromis reste floue, mais Infoblox dit qu’ils « ont vu une variété de versions impactées, y compris les versions récentes du micrologiciel [MikroTik]. »

Les routeurs MikroTik sont connus pour être puissants et les acteurs de la menace les ont ciblés pour créer des botnets capables d’attaques très puissantes.

L’été dernier, le fournisseur de services cloud OVHcloud a blâmé un botnet d’appareils MikroTik compromis pour une attaque massive par déni de service qui a culminé à un record de 840 millions de paquets par seconde.

Malgré l’exhortation des propriétaires d’appareils MikroTik à mettre à jour les systèmes, de nombreux routeurs restent vulnérables pendant de longues périodes en raison d’un taux de correctifs très lent.

Dans ce cas, le botnet a configuré les appareils en tant que proxys SOCKS4 pour lancer des attaques DDoS, envoyer des e-mails de phishing, exfiltrer des données et généralement aider à masquer l’origine du trafic malveillant.

“Même si le botnet se compose de 13 000 appareils, leur configuration en tant que proxy SOCKS permet à des dizaines, voire des centaines de milliers de machines compromises de les utiliser pour accéder au réseau, amplifiant considérablement l’échelle potentielle et l’impact des opérations du botnet”, commente Infoblox.

Il est conseillé aux propriétaires d’appareils MikroTik d’appliquer la dernière mise à jour du micrologiciel de leur modèle, de modifier les informations d’identification du compte administrateur par défaut et de fermer l’accès à distance aux panneaux de contrôle si cela n’est pas nécessaire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *