Operátoři záhadného botnetu Quad7 se aktivně vyvíjejí kompromitováním několika značek SOHO routerů a VPN zařízení využitím kombinace známých i neznámých bezpečnostních chyb. Cíle zahrnují zařízení od TP-LINK, Zyxel, Asus, Axentra, D-Link a NETGEAR, podle nové zprávy francouzské kyberbezpečnostní společnosti Sekoia.
„Operátoři botnetu Quad7 se zdají vyvíjet svůj nástrojový set, zavádějí nový backdoor a zkoumají nové protokoly s cílem zvýšit utajení a vyhnout se sledovacím schopnostem jejich operačních relé boxů (ORBs),“ uvedli výzkumníci Felix Aimé, Pierre-Antoine D. a Charles M. Quad7, také nazývaný 7777, byl poprvé veřejně zdokumentován nezávislým výzkumníkem Gi7w0rm v říjnu 2023, zdůrazňující vzorec aktivity, který zachycuje TP-Link routery a Dahua digitální videorekordéry (DVR) do botnetu.
Botnet, který získal své jméno z toho, že otevírá TCP port 7777 na kompromitovaných zařízeních, byl pozorován při hrubé síle na Microsoft 3665 a Azure instance. „Botnet se také zdá infikovat další systémy jako MVPower, Zyxel NAS a GitLab, i když ve velmi malém objemu,“ poznamenal Jacob Baines z VulnCheck dříve v lednu. „Botnet nejenže spouští službu na portu 7777. Také spouští SOCKS5 server na portu 11228.“
Následné analýzy od Sekoia a Team Cymru v posledních několika měsících zjistily, že nejenže botnet kompromitoval TP-Link routery v Bulharsku, Rusku, USA a na Ukrajině, ale od té doby se také rozšířil a zaměřil se na ASUS routery, které mají otevřené TCP porty 63256 a 63260.
Nejnovější zjištění ukazují, že botnet se skládá ze tří dalších klastrů:
xlogin (také známý jako 7777 botnet) – Botnet složený z kompromitovaných TP-Link routerů, které mají otevřené TCP porty 7777 a 11288
alogin (také známý jako 63256 botnet) – Botnet složený z kompromitovaných ASUS routerů, které mají otevřené TCP porty 63256 a 63260
rlogin – Botnet složený z kompromitovaných zařízení Ruckus Wireless, které mají otevřený TCP port 63210
axlogin – Botnet schopný cílit na Axentra NAS zařízení (zatím nebyl detekován v přírodě)
zylogin – Botnet složený z kompromitovaných Zyxel VPN zařízení, které mají otevřený TCP port 3256
Sekoia sdělila The Hacker News, že země s největším počtem infekcí jsou Bulharsko (1 093), USA (733) a Ukrajina (697).
Jako další znak taktické evoluce nyní hrozební aktéři využívají nový backdoor nazvaný UPDTAE, který vytváří reverzní shell založený na HTTP pro zajištění vzdálené kontroly nad infikovanými zařízeními a provádění příkazů zaslaných z command-and-control (C2) serveru.
V současné době není jasné, jaký je přesný účel botnetu nebo kdo za ním stojí, ale společnost uvedla, že aktivita je pravděpodobně dílem čínského státem sponzorovaného hrozebního aktéra. „Pokud jde o 7777 botnet, viděli jsme pouze pokusy o hrubou sílu proti účtům Microsoft 365,“ řekl Aimé publikaci. U ostatních botnetů stále nevíme, jak jsou používány.
„Nicméně, po výměně s dalšími výzkumníky a nových zjištěních jsme téměř jistí, že operátoři jsou spíše státem sponzorovaní z Číny než prostí kyberzločinci provádějící kompromitaci obchodních e-mailů.“
„Vidíme, že hrozební aktér se snaží být více nenápadný používáním nových malwarů na kompromitovaných hraničních zařízeních. Hlavním cílem tohoto kroku je zabránit sledování přidružených botnetů.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
