7000 IP-адресов участвуют в заражении устройств ботнетом Quad7
25/07/24
Компания Sekoia.io совместно с Intrinsec детально изучила работу ботнета Quad7 (7777), который использует порт TCP/7777 на заражённых маршрутизаторах и проводит брутфорс-атаки на аккаунты Microsoft 365 по всему миру. Специалисты обнаружили атаки на 0,11% отслеживаемых записей. Это передаёт Securitylab.
Ключевые моменты, которые выделили исследователи:
- Эволюция ботнета: Quad7 существует давно и развивается. Количество уникальных IP-адресов сократилось с 16 000 в августе 2022 года до 7 000 в июле 2024 года. Наибольшее количество заражённых устройств находится в Болгарии, России, США и Украине.
- Цели ботнета: Quad7 нацелен на различные IoT-устройства, включая IP-камеры, NAS-устройства и SOHO-маршрутизаторы, преимущественно TP-Link.
- Обнаружение TP-Link: Операторы ботнета отключают интерфейс управления TP-Link после взлома, что затрудняет обнаружение. Исследователи использовали инструмент hping3 и обнаружили, что большинство устройств имеют размер окна TCP, характерный для старых версий ядра Linux, используемых в маршрутизаторах TP-Link.
Исследователи мониторили маршрутизатор TP-Link WR841N с уязвимой прошивкой, предоставив к нему доступ с пяти разных IP-адресов. Специалисты настроили удалённый анализ и использовали библиотеку Scapy для мониторинга попыток аутентификации.
После нескольких дней ожидания была зафиксирована атака, при которой злоумышленник использовал уязвимость для раскрытия файлов и выполнения кода. Хакер запустил Dropbear (легковесный SSH-агент) на более высоком порту и передал пакет утилит BusyBox через SSH-сессию, после чего покинул маршрутизатор, очистив следы.
В другом случае наблюдение за заражённым маршрутизатором Archer C7 v2.0 обнаружило подозрительные процессы: telnetd, xlogin и socks5. Злоумышленник деактивировал веб-интерфейс, убив процесс httpd. Анализ позволил получить загруженные на роутер двоичные файлы.
Двоичный файл Telnet прослушивает TCP/7777 и перенаправляет входящие соединения на простую аутентифицированную оболочку с именем xlogin. Кроме того, с помощью прокси-сервера Socks5 прослушивается порт SOCKS/11288, через который проводятся брутфорс-атаки на аккаунты Microsoft 365.
Анализ сетевого трафика показал, что ботнет Quad7 используется для атак методом Password Spraying на аккаунты Microsoft 365. Были зафиксированы подключения к серверам для проверки IP-адресов и обновления бинарных файлов. Несмотря на проведенное исследование, остаются нераскрытые вопросы – атрибуция атак, используемые уязвимости и географическое распределение ботнета. Исследователи Sekoia.io призывают компании, обладающие более широкой картиной, помочь в решении этих загадок.