Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

MikroTik-Router von Botnetz für Malspam und Cyberangriffe gekapert

Ein globales Netzwerk von etwa 13.000 gekaperten MikroTik-Routern wird als Botnetz eingesetzt, um Malware über Spam-Kampagnen zu verbreiten. Damit reiht es sich in die wachsende Liste von Botnetzen ein, die auf MikroTik-Geräten basieren.

Bedrohungen
Lesezeit 2 Min.

Laut dem Sicherheitsexperten David Brunsdon von Infoblox nutzt die aktuelle Kampagne eine Fehlkonfiguration von DNS-Einträgen aus, um E-Mail-Schutzmechanismen zu umgehen. „Dieses Botnetz verwendet ein globales Netzwerk von MikroTik-Routern, um bösartige E-Mails zu versenden, die so gestaltet sind, als kämen sie von legitimen Domains“, so Brunsdon in einem technischen Bericht, der vergangene Woche veröffentlicht wurde.

„Mikro Typo“-Kampagne entdeckt

Das Unternehmen für DNS-Sicherheit, das die Kampagne „Mikro Typo“ getauft hat, analysierte eine Malspam-Kampagne, die Ende November 2024 entdeckt wurde. Diese Kampagne nutzte gefälschte Frachtrechnungen, um Empfänger dazu zu verleiten, eine ZIP-Datei zu öffnen.

Die ZIP-Datei enthielt eine verschleierte JavaScript-Datei, die einen PowerShell-Befehl ausführt, um eine ausgehende Verbindung zu einem Command-and-Control-Server (C2) mit der IP-Adresse 62.133.60[.]137 herzustellen.

Der genaue Initialzugang, über den die MikroTik-Router kompromittiert wurden, ist bislang unbekannt. Allerdings sind mehrere Firmware-Versionen betroffen, darunter auch solche, die anfällig für die Sicherheitslücke CVE-2023-30799 sind. Diese kritische Schwachstelle ermöglicht eine Privilegieneskalation und das Ausführen beliebigen Codes.

„Unabhängig davon, wie die Geräte kompromittiert wurden, scheint es so, als hätten die Angreifer ein Skript auf die [MikroTik]-Geräte geladen, das SOCKS (Secure Sockets) aktiviert“, erklärt Brunsdon. „Das erlaubt den Geräten, als TCP-Umleitung zu fungieren.“

Durch die Aktivierung von SOCKS wird jedes Gerät zu einem Proxy, der den wahren Ursprung des bösartigen Datenverkehrs verschleiert und so die Nachverfolgung erschwert.

Missbrauch fehlkonfigurierter SPF-Einträge

Besorgniserregend ist auch, dass die Nutzung dieser Proxys keine Authentifizierung erfordert. Dadurch können andere Bedrohungsakteure wahlweise bestimmte Geräte oder sogar das gesamte Botnetz für bösartige Zwecke einsetzen, darunter Phishing-Kampagnen und DDoS-Angriffe.

Die Malspam-Kampagne macht sich eine Fehlkonfiguration in den sogenannten Sender Policy Framework (SPF)-Einträgen von 20.000 Domains zunutze. Diese Einträge sollen eigentlich festlegen, welche Server berechtigt sind, E-Mails im Namen einer Domain zu versenden, um E-Mail-Betrug zu verhindern.

In diesem Fall sind die SPF-Einträge jedoch so falsch eingestellt, dass sie jede E-Mail zulassen, die angeblich von der jeweiligen Domain stammt. Das liegt an der besonders unsicheren Einstellung „+all“, die alle Server als autorisiert betrachtet. Dadurch können die Angreifer problemlos E-Mails verschicken, die wie echte Nachrichten von diesen Domains aussehen.

Kompromittierte MikroTik-Router werden in diesem Zusammenhang genutzt, um solche gefälschten E-Mails zu versenden und Schutzmechanismen wie Spamfilter zu umgehen.

Empfehlungen für MikroTik-Besitzer

Den Besitzern von MikroTik-Geräten wird dringend empfohlen, ihre Router regelmäßig zu aktualisieren und die Standard-Zugangsdaten zu ändern, um Angriffsversuche zu verhindern.

„Da so viele MikroTik-Geräte kompromittiert wurden, kann das Botnetz eine Vielzahl gefährlicher Aktivitäten durchführen. Dazu gehören etwa DDoS-Angriffe, bei denen Netzwerke lahmgelegt werden, der Diebstahl sensibler Daten und gezielte Phishing-Kampagnen, um an vertrauliche Informationen zu gelangen“, erklärt Brunsdon. „Zusätzlich wird die Erkennung und Abwehr der Angriffe dadurch erschwert, dass die Geräte als SOCKS4-Proxys genutzt werden. Sie verschleiern den Ursprung der bösartigen Aktivitäten, was zeigt, wie wichtig effektive Sicherheitsmaßnahmen sind.“

Diesen Beitrag teilen: