Các nhà nghiên cứu an ninh mạng đã phát hiện một hoạt động botnet tinh vi của Nga, sử dụng các sai sót cấu hình DNS và router MikroTik bị xâm nhập để phân phối mã độc thông qua các chiến dịch spam quy mô lớn. Phát hiện này cho thấy cách các tác nhân mối đe dọa mạng đã khai thác các lỗi DNS đơn giản để vượt qua các biện pháp bảo vệ email và phân phối payload độc hại trên phạm vi toàn cầu.

Cơ chế Hoạt động và Hạ tầng Botnet

Hoạt động của botnet này là một ví dụ điển hình về mối đe dọa mạng phức tạp, tích hợp nhiều phương thức tấn công để đạt được hiệu quả cao.

Chiến dịch Malspam Ban đầu

Cuộc điều tra bắt đầu vào tháng 11 năm 2024 khi các nhà nghiên cứu xác định một chiến dịch malspam sử dụng các hóa đơn vận chuyển giả mạo, mạo danh DHL Express. Chiến dịch này nhắm mục tiêu vào người dùng trên toàn cầu.

Chiến dịch đã phân phối các tệp ZIP chứa JavaScript bị làm rối (obfuscated JavaScript), sau đó thực thi các script PowerShell. Các script này thiết lập kết nối đến một máy chủ điều khiển và chỉ huy (C2).

Địa chỉ IP của máy chủ C2 được xác định là 62.133.60[.]137, liên quan đến hoạt động đe dọa từ Nga trên hạ tầng mạng của Global Connectivity Solutions. Đây là một chỉ số quan trọng của mối đe dọa mạng này.

Hạ tầng Botnet MikroTik

Phân tích tiêu đề email đã hé lộ một mạng lưới rộng lớn gồm khoảng 13.000 thiết bị MikroTik bị chiếm quyền điều khiển. Các thiết bị này hoạt động như một botnet phối hợp, đóng vai trò như các proxy.

Các router bị xâm nhập bao gồm nhiều phiên bản firmware, kể cả các bản phát hành gần đây. Điều này cho thấy việc khai thác liên tục các lỗ hổng CVE đã biết và có thể cả các lỗ hổng zero-day chưa được công bố.

Những kẻ tấn công đã biến các thiết bị này thành các proxy SOCKS4, tạo ra một hệ thống chuyển tiếp mở. Hệ thống này che giấu nguồn gốc lưu lượng độc hại và cung cấp sự ẩn danh cho các hoạt động của mối đe dọa mạng.

Các đặc điểm chính của hạ tầng botnet này bao gồm:

• Các thiết bị MikroTik bị chiếm quyền làm chủ.
• Được cấu hình làm proxy SOCKS4.
• Che giấu nguồn gốc lưu lượng độc hại hiệu quả.
• Có khả năng khuếch đại quy mô hạ tầng tấn công theo cấp số nhân.
• Hỗ trợ đa dạng các hoạt động độc hại: tấn công từ chối dịch vụ phân tán (DDoS), đánh cắp dữ liệu, nhồi nhét thông tin đăng nhập (credential stuffing), và các chiến dịch phân phối mã độc quy mô lớn.

Cách tiếp cận phân tán này cho phép hàng chục hoặc hàng trăm nghìn máy bị xâm nhập khác định tuyến lưu lượng thông qua các nút proxy. Điều này khuếch đại quy mô và tác động của hạ tầng tấn công một cách đáng kể.

Nghiên cứu sâu hơn về hoạt động botnet này có thể được tìm thấy tại Infoblox Threat Intelligence Blog.

Khai thác Lỗ hổng và Sai sót Cấu hình

Lỗ hổng trên Router MikroTik

Phương pháp xâm nhập nhiều khả năng liên quan đến việc khai thác các lỗ hổng buffer overflow trong router MikroTik. Các thiết bị có thông tin đăng nhập quản trị mặc định hoặc yếu là mục tiêu chính của các cuộc tấn công.

Nhiều router từng được xuất xưởng với các tài khoản quản trị cố định sử dụng mật khẩu trống hoặc dễ đoán. Điều này tạo ra các rủi ro bảo mật dai dẳng ngay cả sau khi cập nhật bản vá firmware. Đây là một điểm yếu phổ biến bị mối đe dọa mạng khai thác.

Tham khảo thêm về loại lỗ hổng này tại GBHackers on Security.

Sai sót Cấu hình DNS SPF

Thành công của chiến dịch phụ thuộc đáng kể vào việc khai thác các bản ghi Sender Policy Framework (SPF) được cấu hình sai trên khoảng 20.000 tên miền hợp pháp. Mặc dù các tên miền này đã triển khai bảo vệ SPF, chúng lại bị cấu hình sai với cờ +all thay vì các tùy chọn an toàn hơn như -all hoặc ~all.

Sai sót cấu hình nghiêm trọng này về cơ bản đã cho phép bất kỳ máy chủ nào trên toàn thế giới gửi email đại diện cho các tên miền này. Điều này hoàn toàn phá vỡ mục đích chống giả mạo của SPF.

Các bản ghi SPF được cấu hình đúng cách phải chỉ định các máy chủ thư được ủy quyền và từ chối những người gửi không được phép. Cú pháp mẫu cho một bản ghi SPF an toàn là:

v=spf1 include:example.com -all

Tuy nhiên, các tên miền bị xâm nhập đã sử dụng cấu hình như:

v=spf1 include:example.com +all

Cấu hình này cho phép bất kỳ máy chủ nào gửi email giả mạo, khiến chúng trông hợp pháp đối với máy chủ thư của người nhận. Những sai sót cấu hình này có thể là kết quả của lỗi quản trị vô tình hoặc các sửa đổi độc hại từ các tác nhân mối đe dọa mạng có quyền truy cập vào tài khoản đăng ký tên miền.

Tìm hiểu thêm về giao thức xác thực email tại GBHackers on Security.

Tác động và Biện pháp Giảm thiểu

Hậu quả của Botnet và Sai sót Cấu hình

Phát hiện này nhấn mạnh sự tinh vi ngày càng tăng của các hoạt động botnet và tầm quan trọng sống còn của việc quản lý cấu hình DNS đúng cách. Sự kết hợp giữa hạ tầng router bị xâm nhập và các sai sót cấu hình DNS đã tạo ra một “cơn bão hoàn hảo”. Điều này cho phép phân phối mã độc quy mô lớn với khả năng bị phát hiện thấp, là một mối đe dọa mạng đáng kể.

Khuyến nghị Bảo mật và Phòng ngừa

Các tổ chức nên ngay lập tức kiểm tra các bản ghi DNS SPF của mình để đảm bảo cấu hình chính xác và sử dụng các tùy chọn từ chối nghiêm ngặt (ví dụ: -all hoặc ~all).

Việc xem xét định kỳ các cấu hình bảo mật thiết bị, đặc biệt là các router và thiết bị mạng hướng ra internet, là điều cần thiết để giảm thiểu rủi ro bảo mật. Đảm bảo cập nhật bản vá firmware mới nhất và thay đổi các thông tin đăng nhập mặc định là các bước cơ bản.

Chiến dịch này minh họa cách các lỗi cấu hình tưởng chừng nhỏ có thể dẫn đến các vi phạm bảo mật lớn. Điều này cũng nhấn mạnh sự cần thiết của việc giám sát bảo mật toàn diện trên cả hạ tầng mạng và hệ thống quản lý DNS để đối phó hiệu quả với các mối đe dọa mạng.

Bản chất liên tục của mối đe dọa mạng này đòi hỏi sự cảnh giác bền vững, vì hạ tầng botnet được xác định vẫn có khả năng hỗ trợ nhiều hoạt động độc hại khác ngoài các chiến dịch malspam đã quan sát. Các tổ chức cần liên tục đánh giá và tăng cường an ninh mạng để bảo vệ khỏi các mối đe dọa mạng ngày càng tinh vi.

Để biết thêm thông tin về các lỗ hổng CVE liên quan đến MikroTik và cách cập nhật bản vá, hãy tham khảo các nguồn uy tín như NVD.

Chỉ số Nhận diện Sự cố (IOCs)

Trong quá trình điều tra, một số chỉ số nhận diện sự cố (IOCs) đã được xác định:

• Địa chỉ IP máy chủ C2: 62.133.60[.]137

Tóm lại, việc hiểu rõ các khía cạnh của mối đe dọa mạng này là rất quan trọng để xây dựng các chiến lược phòng thủ hiệu quả.