Новости Ботнет Quad7 нацелен на роутеры и медиасерверы

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.327
Репутация
11.800
Реакции
62.020
RUB
50
Аналитики Sekoia , что теперь ботнет Quad7 атакует не только маршрутизаторы TP-Link и ASUS.


Теперь он расширяет свою активность и использует новую кастомную малварь для атак на VPN-устройств Zyxel, беспроводные маршрутизаторы Ruckus и медиасерверы Axentra.

В своем отчете исследователи отмечают, что Quad7, получивший такое название из-за нацеленности на порт 7777, быстро развивается, обзаводится новыми серверами, новыми кластерами, использует новые бэкдоры и реверс-шеллы, а также отказывается от применения SOCKS-прокси в пользу более скрытной работы.

При этом цели операторов Quad7 по-прежнему неизвестны. Предполагается, что ботнет создается для проведения брутфорс-атак на VPN, Telnet, SSH и учетные записи Microsoft 365.

Сейчас ботнет состоит из нескольких кластеров, каждый из которых нацелен на определенные устройства и отображает разные баннеры при подключении к порту Telnet. Например, баннер Telnet на беспроводных устройствах Ruckus имеет вид rlogin.



Полный список кластеров и их приветственных баннеров выглядит следующим образом:

  • xlogin — Telnet, привязанный к TCP-порту 7777 на маршрутизаторах TP-Link;
  • alogin — Telnet, привязанный к TCP-порту 63256 на маршрутизаторах ASUS;
  • rlogin — Telnet, привязанный к TCP-порту 63210 на беспроводных девайсах Ruckus;
  • axlogin — Telnet-баннер на NAS-устройствах Axentra;
  • zylogin — Telnet, привязанный к TCP-порту 3256 на VPN-устройствах Zyxel.
В некоторые из этих кластеров (например, xlogin и alogin) входят несколько тысяч скомпрометированных устройств. Другие, например rlogin, существующий примерно с июня 2024 года, насчитывают лишь 298 зараженных устройств. Кластер zylogin тоже очень мал — в него входят всего два устройства. А в кластере axlogin на данный момент вообще нет ни одного активного заражения.


Кластеры Quad7

Специалисты Sekoia пишут, что за последнее время у Quad7 заметно изменились методы атак и коммуникаций. Теперь малварь более сосредоточена на уклонении от обнаружения и повышении эффективности своей работы.

Так, практически перестали использоваться открытые SOCKS-прокси, на которые ботнет ранее полагался для передачи вредоносного трафика, например, во время брутфорса. Вместо этого теперь операторы Quad7 используют протокол KCP и новый инструмент FsyNet, который обменивается данными через UDP, что значительно затрудняет обнаружение и отслеживание угрозы.


Работа FsyNet

Также теперь операторы ботнета используют новый бэкдор под названием UPDTAE, который устанавливает HTTP реверс-шеллы для удаленного управления зараженными девайсами. Это позволяет злоумышленникам управлять устройствами, не раскрывая интерфейсы для входа и не оставляя открытыми порты, которые легко обнаружить с помощью интернет-сканеров.

Также отмечается, что в последнее время злоумышленники экспериментируют с новым бинарником netd, который использует протокол CJD route2 для еще более скрытных коммуникаций.


 
Сверху Снизу