Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

13 000 роутеров MikroTik превращены в хакерскую сеть

17/01/25

hack129-1

В ноябре 2024 года была обнаружена сеть из 13 000 маршрутизаторов MikroTik, использующая уязвимость в записях DNS для обхода почтовой защиты и доставки вредоносного ПО. Хакеры эксплуатируют ошибку в конфигурации SPF-записей, отвечающих за авторизацию серверов для отправки писем от имени доменов, пишет Securitylab.

Компания Infoblox сообщила о рассылке вредоносных писем, в которых злоумышленники подделывали отправителей от имени DHL Express. Во вложении содержались счета на оплату в ZIP-архиве с вредоносным скриптом на JavaScript. Скрипт запускал PowerShell-команду для соединения с C2-сервером.

Около 20 000 доменов использовали чрезмерные разрешиения в настройке SPF-записей с параметром «+all», что позволяло любому серверу отправлять письма от имени домена, фактически отменяя защиту от подделки. Для предотвращения таких атак рекомендуется использовать параметр «-all», который ограничивает отправку писем только авторизованными серверами.

Хотя точный способ взлома маршрутизаторов MikroTik остаётся неизвестным, Infoblox отмечает, что были затронуты устройства с различными версиями прошивок, включая последние. MikroTik часто становится целью хакеров из-за своей мощности, что позволяет создавать крупные ботнеты.

В новом ботнете устройства использовались как прокси-серверы SOCKS4 для отправки фишинговых писем, DDoS-атак, кражи данных и маскировки трафика, что позволило тысячам заражённых машин скрывать источник вредоносной активности. Специалисты советуют срочно обновить прошивку роутеров, сменить пароли администраторов по умолчанию и отключить удалённый доступ к панели управления, если он не используется.

Летом 2024 года компания OVHcloud сообщала о DDoS-атаке с рекордной интенсивностью 840 Mpps, организованной через ботнет MikroTik. Несмотря на рекомендации по обновлению прошивок, низкий темп установки исправлений делает многие устройства уязвимыми на длительный срок.

Темы:ПреступлениямаршрутизаторыDNSMikroTik
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...