駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式

DNS安全公司Infoblox最新發現一個由13,000台MikroTik設備組成的殭屍網路，攻擊者透過利用域名伺服器記錄的錯誤配置，偽造約20,000個網域來繞過電子郵件防護並傳播惡意程式。

攻擊手法與技術細節

根據Infoblox的調查，這波惡意程式散布活動於2024年11月下旬活躍。攻擊者利用DNS的SPF (Sender Policy Framework）的設定錯誤進行攻擊。SPF原本的用途是列出所有獲得授權、可代表特定網域發送電子郵件的伺服器。

在觀察到的攻擊中，部分惡意郵件偽裝成DHL Express快遞公司，發送包含惡意程式的假運費發票ZIP壓縮檔。解壓後的JavaScript檔案會組裝並執行PowerShell指令碼，進而連接到與俄羅斯駭客有關的指揮控制（C2）伺服器。

SPF記錄配置問題

Infoblox指出，約20,000個域名的SPF DNS記錄被設定為過於寬鬆的「+all」選項，這允許任何伺服器代表這些域名發送電子郵件。Infoblox解釋：「這基本上打敗了設置SPF記錄的目的，因為它為偽造和未經授權的電子郵件發送開啟了大門，」。

相較之下，使用「-all」選項才是更安全的選擇，因為它限制只有域名指定的伺服器才能發送郵件。

雖然確切的入侵方式尚未明確，但Infoblox表示他們觀察到各種版本的MikroTik韌體都受到影響，包括最新版本。這些被劫持的設備被設定為SOCKS4代理，用於發動DDoS攻擊、發送釣魚郵件、竊取資料，並協助隱藏惡意流量的來源。

Infoblox警告，儘管殭屍網路只有13,000台設備，但它們被配置為SOCKS代理後，可以允許數十萬甚至更多的受感染機器通過它們進行網路存取，這放大了殭屍網路操作的潛在規模和影響。
面對這種威脅，MikroTik設備擁有者應該立即更新至最新版本韌體，同時更改預設管理員帳戶憑證，並在無必要時關閉遠端存取控制面板。

值得注意的是，MikroTik路由器因其強大的功能而聞名，包含防火牆 (Firewall)，虛擬私人網絡（VPN），頻寬限制管理 (QoS, Band Management)，鏡射監管流量 (Port Mirroring) 等非常實用的路由交換器功能。也因此MikroTik路由器因經常成為威脅行為者的目標。

去年夏天，雲服務供應商OVHcloud就曾遭受由MikroTik設備組成的殭屍網路攻擊，峰值達到創紀錄的每秒8.4億封包。然而，由於MikroTik更新率極低，許多路由器長期處於易受攻擊的狀態。

本文轉載自bleepingcomputer。