Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

7000 IP-адресов участвуют в  заражении устройств ботнетом Quad7

25/07/24

Botnet-Attack-blog

Компания Sekoia.io совместно с Intrinsec детально изучила работу ботнета Quad7 (7777), который использует порт TCP/7777 на заражённых маршрутизаторах и проводит брутфорс-атаки на аккаунты Microsoft 365 по всему миру. Специалисты обнаружили атаки на 0,11% отслеживаемых записей. Это передаёт Securitylab.

Ключевые моменты, которые выделили исследователи:

  • Эволюция ботнета: Quad7 существует давно и развивается. Количество уникальных IP-адресов сократилось с 16 000 в августе 2022 года до 7 000 в июле 2024 года. Наибольшее количество заражённых устройств находится в Болгарии, России, США и Украине.
  • Цели ботнета: Quad7 нацелен на различные IoT-устройства, включая IP-камеры, NAS-устройства и SOHO-маршрутизаторы, преимущественно TP-Link.
  • Обнаружение TP-Link: Операторы ботнета отключают интерфейс управления TP-Link после взлома, что затрудняет обнаружение. Исследователи использовали инструмент hping3 и обнаружили, что большинство устройств имеют размер окна TCP, характерный для старых версий ядра Linux, используемых в маршрутизаторах TP-Link.

Исследователи мониторили маршрутизатор TP-Link WR841N с уязвимой прошивкой, предоставив к нему доступ с пяти разных IP-адресов. Специалисты настроили удалённый анализ и использовали библиотеку Scapy для мониторинга попыток аутентификации.

После нескольких дней ожидания была зафиксирована атака, при которой злоумышленник использовал уязвимость для раскрытия файлов и выполнения кода. Хакер запустил Dropbear (легковесный SSH-агент) на более высоком порту и передал пакет утилит BusyBox через SSH-сессию, после чего покинул маршрутизатор, очистив следы.

В другом случае наблюдение за заражённым маршрутизатором Archer C7 v2.0 обнаружило подозрительные процессы: telnetd, xlogin и socks5. Злоумышленник деактивировал веб-интерфейс, убив процесс httpd. Анализ позволил получить загруженные на роутер двоичные файлы.

Двоичный файл Telnet прослушивает TCP/7777 и перенаправляет входящие соединения на простую аутентифицированную оболочку с именем xlogin. Кроме того, с помощью прокси-сервера Socks5 прослушивается порт SOCKS/11288, через который проводятся брутфорс-атаки на аккаунты Microsoft 365.

Анализ сетевого трафика показал, что ботнет Quad7 используется для атак методом Password Spraying на аккаунты Microsoft 365. Были зафиксированы подключения к серверам для проверки IP-адресов и обновления бинарных файлов. Несмотря на проведенное исследование, остаются нераскрытые вопросы – атрибуция атак, используемые уязвимости и географическое распределение ботнета. Исследователи Sekoia.io призывают компании, обладающие более широкой картиной, помочь в решении этих загадок.

Темы:УгрозыботнетIP-адресаbrute-forceSEKOIA
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...