Faux emails DHL, botnet de routeurs piratés et erreurs DNS : une combinaison explosive pour une campagne de spam redoutable. Des milliers d’appareils MikroTik compromis servent de proxies ouverts, masquant l’origine des attaques et facilitant la diffusion de logiciels malveillants. Une simple erreur de configuration SPF, une simple faute de frappe, permet même aux attaquants d’usurper l’identité de domaines légitimes.
Une récente campagne de spam qui diffuse de fausses factures prétendument envoyées par DHL a été découverte.
Ces emails contenaient des fichiers JavaScript malveillants, compressés et obfusqués dans des archives ZIP.
Cette campagne, repérée fin novembre, utilisait des emails qui prétendaient traiter des factures de fret. Ces messages incluent un fichier ZIP piégé, dont le nom suit un schéma précis : Facture (nombre à 2 ou 3 chiffres).zip ou Suivi (nombre à 2 ou 3 chiffres).zip.
En voici un exemple :
Facture pour le paiement de l’expédition
Numéro de facture : 728326122
Cher client,
Nous avons préparé une facture pour le transport de votre colis. Veuillez trouver ci-joint le fichier contenant toutes les informations de paiement nécessaires. Afin d’éviter des retards dans le processus de livraison, veuillez effectuer le paiement dès que possible. Si vous avez des questions, n’hésitez pas à nous contacter. Cordialement, DHL Express.
Le cheval de Troie
Le fichier ZIP joint au message contient un fichier JavaScript obfusqué, conçu pour créer et exécuter un script PowerShell. Ce dernier établit une connexion sortante avec le serveur de commande et de contrôle (C2), situé à l’adresse IP 62.133.60.137.
Cette adresse IP, hébergée par Global Connectivity Solutions (AS215540), est associée à un historique d’activités suspectes, notamment en lien avec des opérations russes par le passé.
Le botnet
En analysant les en-têtes des mails pour en extraire les adresses des serveurs SMTP, nous avons mis à jour un réseau d’environ 13 000 appareils Mikrotik, piratés et contrôlés par un robot. Ensemble, ces appareils forment une force prête à déclencher une série d’attaques malveillantes.
Une erreur de configuration DNS qui permet un envoi massif de spam
Plusieurs vulnérabilités critiques ont été identifiées dans les routeurs MikroTik, et bien qu’il soit difficile de déterminer avec précision quelles versions du logiciel ont été exploitées par les attaquants, des vulnérabilités existent même sur les firmware récents. Une vulnérabilité permettant l’exécution à distance de code est détaillée ici.
Cet exploit de « buffer overflow », bien que nécessitant une authentification préalable, peut être exécuté à distance. Les routeurs étaient livrés avec un compte « admin » par défaut, sans mot de passe, ce qui facilite leur compromission (il est conseillé de désactiver ce compte).
Bien que cette vulnérabilité et d’autres plus anciennes soient connues, elles ne suffisent pas à expliquer la présence de versions récentes du firmware dans le botnet. Il semble qu’un script ait été installé sur ces appareils pour activer SOCKS, transformant chaque appareil en proxy et masquant l’origine du trafic malveillant. L’absence d’authentification pour utiliser ces proxies expose ces appareils à une exploitation par d’autres acteurs. Ce botnet de 13 000 appareils, pourrait être utilisé par des dizaines de milliers de machines compromises, amplifiant l’impact de ce réseau.
En contrôlant autant de routeurs et de domaines accessibles, un acteur malveillant peut lancer des attaques DDoS, exfiltrer des données ou mener des campagnes de phishing. Les proxies SOCKS permettent aussi de diffuser des malwares tout en contournant les mesures de sécurité. Un opérateur C2 ayant accès à ce botnet pourrait augmenter l’échelle de ses attaques et bénéficier d’une couverture anonyme pour éviter la détection.
Qu’en est-il du DNS ?
Le DNS joue un rôle clé pour empêcher les attaques par spam en utilisant des enregistrements DNS TXT comme DKIM, SPF et DMARC, qui aident à vérifier l’authenticité des emails. Cependant, une configuration incorrecte dans les enregistrements SPF d’un domaine permet à des acteurs malveillants de contourner ces protections et d’envoyer des emails frauduleux.
Cette erreur de configuration, soit accidentelle, soit malveillante, permet à n’importe quel serveur d’usurper un domaine légitime.
Par exemple, un enregistrement SPF correctement configuré pour que example.com autorise uniquement des serveurs spécifiques à envoyer des emails :
v=spf1 include:example.com -all.
En revanche, une configuration incorrecte comme celle observée dans cette campagne, avec v=spf1 include:example.com +all, permet à n’importe quel serveur d’envoyer des emails en usurpant example.com, rendant le domaine vulnérable à l’usurpation d’identité et au spam.
L’auto-vérification
Pour vérifier si un nom de domaine possède un enregistrement SPF et comment il est configuré, il suffit de consulter ses enregistrements DNS TXT.
Sous Linux ou MacOS, on peut utiliser la commande dig combinée à grep pour vérifier “example.com” :
dig +short txt example.com | grep spf
Sous Windows, on peut utiliser nslookup avec PowerShell :
nslookup -type=txt example.com | Select-String -Pattern "spf"
Dans ces deux cas, le résultat sera :
« v=spf1 -all »
Cela indique que example.com n’autorise aucun courrier provenant de son domaine.
Au final…
Plus de 13 000 appareils MikroTik compromis et 20 000 domaines envoyant des courriels usurpés ont été identifiés en analysant l’activité d’un botnet lié à une campagne de malspam. Ces appareils ont été exploités comme proxies ouverts (SOCKS4), compliquant la détection et la prévention des attaques.
Ce botnet, capable de mener des attaques DDoS, de l’exfiltration de données et des campagnes de phishing, illustre l’évolution des menaces en cybersécurité. La campagne de malspam a exploité des configurations incorrectes des enregistrements DNS SPF, mettant l’accent sur l’importance d’une configuration DNS correcte et d’audits de sécurité réguliers pour prévenir de telles vulnérabilités.
L’utilisation de proxies SOCKS4 complique la détection et la prévention des attaques, ce qui souligne une fois de plus l’importance de renforcer la sécurité. La campagne de spam a profité des configurations incorrectes du DNS, mettant ainsi en lumière la nécessité d’une gestion adéquate des enregistrements SPF et de contrôles de sécurité réguliers.
_________________________________
Par Renée Burton, Vice-Présidente de Threat Intel chez Infoblox