【安全资讯】MikroTik僵尸网络利用错误配置的SPF DNS记录传播恶意软件

概要：

近期发现的MikroTik僵尸网络由13,000个设备组成，利用域名服务器记录的错误配置，绕过电子邮件保护机制，伪装约20,000个网络域名传播恶意软件。这一事件凸显了网络安全中的配置错误如何被黑客利用，造成广泛的安全威胁。

主要内容：

该僵尸网络的攻击者利用发送者策略框架（SPF）记录的不当配置，允许任何服务器代表这些域名发送电子邮件。根据DNS安全公司Infoblox的报告，这一恶意邮件活动在2024年11月底活跃，部分邮件伪装成DHL快递公司，附带包含恶意负载的假发票ZIP文件。ZIP附件内的JavaScript文件会组装并运行PowerShell脚本，连接到与俄罗斯黑客相关的指挥控制（C2）服务器。

Infoblox指出，约20,000个域名的SPF记录配置了过于宽松的“+all”选项，导致伪造和未经授权的电子邮件发送成为可能。相对安全的选择是使用“-all”选项，限制电子邮件发送到指定的服务器。尽管MikroTik设备的具体被攻陷方式尚不明确，但Infoblox表示，受影响的设备包括多个版本的MikroTik固件。

MikroTik路由器因其强大的性能而受到攻击者的青睐，能够创建强大的僵尸网络。去年夏天，云服务提供商OVHcloud曾因MikroTik设备的僵尸网络导致了一次高达每秒840百万个数据包的拒绝服务攻击。尽管建议MikroTik设备所有者更新系统，许多路由器仍因补丁更新缓慢而长期处于脆弱状态。该僵尸网络将设备配置为SOCKS4代理，进行DDoS攻击、发送钓鱼邮件、外泄数据，并掩盖恶意流量的来源。