https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式

2025 / 01 / 16
編輯部
駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
DNS安全公司Infoblox最新發現一個由13,000台MikroTik設備組成的殭屍網路,攻擊者透過利用域名伺服器記錄的錯誤配置,偽造約20,000個網域來繞過電子郵件防護並傳播惡意程式。

攻擊手法與技術細節

根據Infoblox的調查,這波惡意程式散布活動於2024年11月下旬活躍。攻擊者利用DNS的SPF (Sender Policy Framework)的設定錯誤進行攻擊。SPF原本的用途是列出所有獲得授權、可代表特定網域發送電子郵件的伺服器。

在觀察到的攻擊中,部分惡意郵件偽裝成DHL Express快遞公司,發送包含惡意程式的假運費發票ZIP壓縮檔。解壓後的JavaScript檔案會組裝並執行PowerShell指令碼,進而連接到與俄羅斯駭客有關的指揮控制(C2)伺服器。

SPF記錄配置問題

Infoblox指出,約20,000個域名的SPF DNS記錄被設定為過於寬鬆的「+all」選項,這允許任何伺服器代表這些域名發送電子郵件。Infoblox解釋:「這基本上打敗了設置SPF記錄的目的,因為它為偽造和未經授權的電子郵件發送開啟了大門,」。

相較之下,使用「-all」選項才是更安全的選擇,因為它限制只有域名指定的伺服器才能發送郵件。

雖然確切的入侵方式尚未明確,但Infoblox表示他們觀察到各種版本的MikroTik韌體都受到影響,包括最新版本。這些被劫持的設備被設定為SOCKS4代理,用於發動DDoS攻擊、發送釣魚郵件、竊取資料,並協助隱藏惡意流量的來源。

Infoblox警告,儘管殭屍網路只有13,000台設備,但它們被配置為SOCKS代理後,可以允許數十萬甚至更多的受感染機器通過它們進行網路存取,這放大了殭屍網路操作的潛在規模和影響。
面對這種威脅,MikroTik設備擁有者應該立即更新至最新版本韌體,同時更改預設管理員帳戶憑證,並在無必要時關閉遠端存取控制面板。

值得注意的是,MikroTik路由器因其強大的功能而聞名,包含防火牆 (Firewall),虛擬私人網絡(VPN),頻寬限制管理 (QoS, Band Management),鏡射監管流量 (Port Mirroring) 等非常實用的路由交換器功能。也因此MikroTik路由器因經常成為威脅行為者的目標。

去年夏天,雲服務供應商OVHcloud就曾遭受由MikroTik設備組成的殭屍網路攻擊,峰值達到創紀錄的每秒8.4億封包。然而,由於MikroTik更新率極低,許多路由器長期處於易受攻擊的狀態。

本文轉載自bleepingcomputer。