12/09/24
Исследователи из компании Sekoia сообщили об эволюции ботнета Quad7, который начал атаковать новые устройства, включая медиа-серверы Axentra, беспроводные маршрутизаторы Ruckus и VРN-аппараты Zyxel. Злоумышленники активно используют уязвимости в устройствах SOHO и VPN, таких как TP-Link, Zyxel, Asus, D-Link и Netgear, чтобы взломать их и добавить в сеть ботнета, пишет Securitylab.
По данным экспертов, ботнет Quad7 используется для осуществления распределённых атак методом брутфорса на аккаунты VPN, Telnet, SSH и Microsoft 365. Недавний отчёт Sekoia также раскрыл наличие новых серверов, управляющих ботнетом, и новых целей среди сетевых устройств.
Операторы ботнета выделили пять отдельных групп устройств (alogin, xlogin, axlogin, rlogin и zylogin), каждая из которых атакует определённые типы техники. Например, alogin нацелен на роутеры Asus, а rlogin атакует устройства Ruckus Wireless. В то время как группы alogin и xlogin охватили тысячи устройств, rlogin затронул лишь 213 устройств, что делает его менее масштабным, но всё ещё опасным. Другие группы, такие как axlogin и zylogin, ориентированы на NAS Axentra и VPN от Zyxel.
Отличительной особенностью Quad7 является использование захваченных роутеров TP-Link, которые злоумышленники применяют для атак на Microsoft 365. Эти устройства открыты для удалённого администрирования и прокси-соединений, что облегчает выполнение атак.
Также исследователями был обнаружен новый бэкдор, который получил название UPDTAE из-за опечатки в коде. Он позволяет удалённо управлять заражёнными устройствами через HTTP-обратные соединения, что даёт злоумышленникам полный контроль над техникой.
В последние месяцы операторы Quad7 улучшили тактики управления ботнетом, перейдя на более скрытые способы передачи данных. Вместо использования открытых прокси-серверов SOCKS, они начали применять протокол KCP, который обеспечивает более быструю связь через UDP, хотя и требует больше пропускной способности. Новый инструмент FsyNet позволяет скрывать трафик и затрудняет его обнаружение.
