Sekoia представила отчет в отношении ботнета Quad7, который активно эволюционирует, атакуя с помощью нового вредоносного ПО для VPN-устройств Zyxel, беспроводных маршрутизаторов Ruckus и медиасерверов Axentra.
Замеченные новшества в работе Quad7 показывает, что его разработчики учли имевшиеся ошибки, выявленные исседователями, и теперь реализуют переход в сторону более скрытных технологий.
Основная цель Quad7 остается до сих загадкой, есть лишь предположения о возможности его задействования в бруте паролей на VPN, Telnet, SSH и учетных записей Microsoft 365.
Ботнет Quad7 состоит из нескольких подкластеров, идентифицированных как варианты *login, каждый из которых нацелен на определенные устройства и отображает свой приветственный баннер при подключении к порту Telnet.
Полный список вредоносных кластеров состоит из:
- xlogin – Telnet, привязанный к TCP-порту 7777 на маршрутизаторах TP-Link
- alogin – Telnet привязан к TCP-порту 63256 на маршрутизаторах ASUS
- rlogin – Telnet, привязанный к TCP-порту 63210 на беспроводных устройствах Ruckus
- axlogin – баннер Telnet на устройствах Axentra NAS
- zylogin – Telnet, привязанный к TCP-порту 3256 на устройствах Zyxel VPN.
Некоторые из кластеров, такие как xlogin и alogin затрагивают до нескольких тысяч устройств. Другие, недавно появившиеся, такие как rlogin и zylogin, насчитывают значительно меньше - 298 и 2 заражения соответственно, а axlogin - вовсе по нулям.
Тем не менее, эти новые подкластеры в самое ближайшее время могут выйти из экспериментальной фазы или переключиться на новые уязвимости, нацеленные на более распространенные модели.
Последние результаты исследования Sekoia показывают, что ботнет Quad7 значительно усовершенствовал свои методы и тактику коммуникации, сосредоточившись на уклонении от обнаружения и повышении эффективности работы.
Во-первых, постепенно прекращается использование открытых прокси-серверов SOCKS, в которых ботнет активно использовал предыдущие версии для ретрансляции вредоносного трафика.
Вместо этого операторы Quad7 теперь используют протокол связи KCP для ретрансляции атак с помощью инструмента FsyNet, который осуществляет связь по протоколу UDP, что значительно затрудняет отслеживание.
Кроме того, злоумышленники теперь используют новый бэкдор под названием UPDTAE, который устанавливает обратные HTTP-оболочки для удаленного управления зараженными устройствами, позволяя операторам управлять устройствами, не раскрывая интерфейсы входа в систему и не оставляя открытыми порты.
Также разработчиками ведутся эксперименты с новым двоичным файлом netd, который использует протокол CJD route2, так что, скорее всего, на подходе еще более скрытый механизм связи.
Замеченные новшества в работе Quad7 показывает, что его разработчики учли имевшиеся ошибки, выявленные исседователями, и теперь реализуют переход в сторону более скрытных технологий.
Основная цель Quad7 остается до сих загадкой, есть лишь предположения о возможности его задействования в бруте паролей на VPN, Telnet, SSH и учетных записей Microsoft 365.
Ботнет Quad7 состоит из нескольких подкластеров, идентифицированных как варианты *login, каждый из которых нацелен на определенные устройства и отображает свой приветственный баннер при подключении к порту Telnet.
Полный список вредоносных кластеров состоит из:
- xlogin – Telnet, привязанный к TCP-порту 7777 на маршрутизаторах TP-Link
- alogin – Telnet привязан к TCP-порту 63256 на маршрутизаторах ASUS
- rlogin – Telnet, привязанный к TCP-порту 63210 на беспроводных устройствах Ruckus
- axlogin – баннер Telnet на устройствах Axentra NAS
- zylogin – Telnet, привязанный к TCP-порту 3256 на устройствах Zyxel VPN.
Некоторые из кластеров, такие как xlogin и alogin затрагивают до нескольких тысяч устройств. Другие, недавно появившиеся, такие как rlogin и zylogin, насчитывают значительно меньше - 298 и 2 заражения соответственно, а axlogin - вовсе по нулям.
Тем не менее, эти новые подкластеры в самое ближайшее время могут выйти из экспериментальной фазы или переключиться на новые уязвимости, нацеленные на более распространенные модели.
Последние результаты исследования Sekoia показывают, что ботнет Quad7 значительно усовершенствовал свои методы и тактику коммуникации, сосредоточившись на уклонении от обнаружения и повышении эффективности работы.
Во-первых, постепенно прекращается использование открытых прокси-серверов SOCKS, в которых ботнет активно использовал предыдущие версии для ретрансляции вредоносного трафика.
Вместо этого операторы Quad7 теперь используют протокол связи KCP для ретрансляции атак с помощью инструмента FsyNet, который осуществляет связь по протоколу UDP, что значительно затрудняет отслеживание.
Кроме того, злоумышленники теперь используют новый бэкдор под названием UPDTAE, который устанавливает обратные HTTP-оболочки для удаленного управления зараженными устройствами, позволяя операторам управлять устройствами, не раскрывая интерфейсы входа в систему и не оставляя открытыми порты.
Также разработчиками ведутся эксперименты с новым двоичным файлом netd, который использует протокол CJD route2, так что, скорее всего, на подходе еще более скрытый механизм связи.