Código HTML do Conteúdo
Post: A nova botnet explora falhas simples do DNS que levam a um ataque cibernético maciço
<div>
<div>
<p>Os pesquisadores de segurança cibernética descobriram uma sofisticada operação de botnet russa que alavancou incrustações incorretas do DNS e comprometiu os roteadores Mikrotik para entregar malware por meio de campanhas enormes de spam.</p>
<p>A descoberta revela como os atores de ameaças exploraram erros simples do DNS para ignorar as proteções de segurança por email e distribuir cargas úteis maliciosas em escala global.</p>
<p>A investigação começou em novembro de 2024, quando os pesquisadores identificaram uma campanha MALSPAM com faturas de remessas fraudulentas que se representam<a href="https://gbhackers.com/muncy-malware-dhl-phishing/" rel="noreferrer noopener" target="_blank"> DHL Express</a>.</p>
<p>A campanha foi entregue <a href="https://gbhackers.com/noisybear-exploits-zip-files/" rel="noreferrer noopener" target="_blank">Arquivos ZIP</a> Contendo JavaScript ofuscado que executou scripts do PowerShell, estabelecendo conexões com um servidor de comando e controle localizado no endereço IP 62.133.60[.]137, associado à atividade de ameaça russa na infraestrutura de rede de soluções de conectividade global.</p>
<h2 id="massive-mikrotik-router-botnet-powers-global-attac"><strong>Mikrotik Botnet alimenta o ataque cibernético global</strong></h2>
<p>Análise dos cabeçalhos de e -mail <a href="https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/" rel="noreferrer noopener nofollow" target="_blank">revelado</a> Uma ampla rede de aproximadamente 13.000 dispositivos Mikrotik seqüestrados operando como uma botnet coordenada. </p>
<p>Os roteadores comprometidos abrangem várias versões de firmware, incluindo lançamentos recentes, sugerindo a exploração contínua de vulnerabilidades conhecidas e explorações potencialmente de dia zero. </p>
<p>Os atacantes transformaram esses dispositivos em proxies de Socks4, criando efetivamente um sistema de retransmissão aberta que mascara origens maliciosas do tráfego e fornece anonimato para operações de ameaças.</p>
<p><strong>As principais características da infraestrutura de botnet incluem:</strong></p>
<ul>
<li>Configuração do proxy SOCKS4, permitindo o anonimato de roteamento de tráfego.</li>
<li>Suporte para dezenas de milhares de máquinas comprometidas adicionais.</li>
<li>Exploração de firmware de várias versões nas gerações do roteador.</li>
<li>Distribuição global que fornece uma extensa cobertura geográfica.</li>
<li>A acessibilidade aberta do relé permite o uso de atores de ameaças de terceiros.</li>
</ul>
<p>A configuração do botnet permite dezenas ou centenas de milhares de máquinas comprometidas adicionais para rotear o tráfego através desses nós de proxy, ampliando exponencialmente a escala e o impacto da infraestrutura de ataque.</p>
<p>Essa abordagem distribuída permite várias atividades maliciosas, incluindo ataques distribuídos de negação de serviço, exfiltração de dados, operações de recheio de credenciais e campanhas generalizadas de distribuição de malware.</p>
<p>O método de compromisso provavelmente envolve explorar <a href="https://gbhackers.com/windows-heap-buffer-overflow-vulnerability/" rel="noreferrer noopener" target="_blank">Vulnerabilidades de transbordamento de buffer</a> Nos roteadores Mikrotik, particularmente direcionando dispositivos com credenciais administrativas padrão. </p>
<p>Muitos roteadores historicamente enviados com contas de administração codificadas usando senhas em branco, criando vulnerabilidades de segurança persistentes, mesmo após atualizações de firmware.</p>
<h2 id="dns-spf-record-misconfigurations-enable-email-secu"><strong>SPF misconfigs Ative o desvio de segurança por email</strong></h2>
<p>O sucesso da campanha dependia de explorar registros de políticas de remetente de remetente em aproximadamente 20.000 domínios legítimos. </p>
<p>Enquanto esses domínios implementados <a href="https://gbhackers.com/email-authentication-protocol/" rel="noreferrer noopener" target="_blank">SPF</a> Proteções, eles foram configurados incorretamente com sinalizadores “+all” em vez das opções seguras “-ver” ou “~ all”.</p>
<p>Essa configuração incorreta crítica autorizou essencialmente qualquer servidor em todo o mundo a enviar e-mails em nome desses domínios, derrotando completamente as finalidades anti-spoofing do SPF.</p>
<p><strong>Vulnerabilidades críticas de configuração do DNS identificadas:</strong></p>
<ul>
<li>Os registros do SPF usando sinalizadores “+all” permissivos em vez de “-odos” restritivos.</li>
<li>Recursos de falsificação de domínio em 20.000 organizações legítimas.</li>
<li>Bypass de segurança por email, permitindo altas taxas de sucesso de entrega.</li>
<li>Erros administrativos em potencial ou compromissos de conta de registrador maliciosos.</li>
<li>CONVOLVENÇÃO COMPLETA DE MECANISMOS DE PROTEÇÃO DE ANTI-SPAM.</li>
</ul>
<p>Os registros SPF configurados corretamente devem especificar servidores de email autorizados e negar remetentes não autorizados usando a sintaxe como “v = spf1 incluem: exemplo.com -all”. </p>
<p>No entanto, os domínios comprometidos usados ​​”v = spf1 incluem: exemplo.com +all”, que permite que qualquer servidor envie e -mails falsificados que aparecem legítimos aos servidores de correio do destinatário.</p>
<p>Essas configurações incorretas podem resultar de erros administrativos acidentais ou modificações maliciosas por atores de ameaças com acesso à conta do registrador. </p>
<p>Independentemente da origem, a conseqüência permite operações maciças de falsificação por e-mail que ignoram as proteções tradicionais anti-spam e aumentam as taxas de sucesso de entrega de carga útil maliciosa.</p>
<h2 id="implications-and-defensive-recommendations"><strong>Implicações e recomendações defensivas</strong></h2>
<p>Essa descoberta ressalta a sofisticação em evolução das operações de botnet e a importância crítica do gerenciamento de configuração DNS adequado. </p>
<p>A combinação de infraestrutura de roteador comprometida e equívocas de DNS criou uma tempestade perfeita, permitindo que a distribuição de malware em larga escala com probabilidade reduzida de detecção.</p>
<p>As organizações devem auditar imediatamente seus registros DNS SPF para garantir a configuração adequada e revisar regularmente as configurações de segurança do dispositivo, principalmente os roteadores e equipamentos de rede voltados para a Internet. </p>
<p>A campanha demonstra como os erros de configuração aparentemente menores podem permitir grandes violações de segurança e enfatizar a necessidade de monitoramento abrangente de segurança nos sistemas de gerenciamento de rede e de gerenciamento de DNS.</p>
<p>A natureza contínua dessa ameaça requer vigilância sustentada, pois a infraestrutura de botnet identificada permanece capaz de apoiar várias atividades maliciosas além das campanhas observadas do MALSPAM.</p>
<p><strong>Encontre esta história interessante! Siga -nos<a href="https://www.linkedin.com/company/cybersecurity-news/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/cyber_press_org" rel="noreferrer noopener" target="_blank">X</a>Para obter mais atualizações instantâneas</strong>.</p>
</div></div>