Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Ботнет Quad7 обновился и угрожает новым устройствам

12/09/24

hack66-Sep-12-2024-09-27-24-1787-AM

Исследователи из компании Sekoia сообщили об эволюции ботнета Quad7, который начал атаковать новые устройства, включая медиа-серверы Axentra, беспроводные маршрутизаторы Ruckus и VРN-аппараты Zyxel. Злоумышленники активно используют уязвимости в устройствах SOHO и VPN, таких как TP-Link, Zyxel, Asus, D-Link и Netgear, чтобы взломать их и добавить в сеть ботнета, пишет Securitylab.

По данным экспертов, ботнет Quad7 используется для осуществления распределённых атак методом брутфорса на аккаунты VPN, Telnet, SSH и Microsoft 365. Недавний отчёт Sekoia также раскрыл наличие новых серверов, управляющих ботнетом, и новых целей среди сетевых устройств.

Операторы ботнета выделили пять отдельных групп устройств (alogin, xlogin, axlogin, rlogin и zylogin), каждая из которых атакует определённые типы техники. Например, alogin нацелен на роутеры Asus, а rlogin атакует устройства Ruckus Wireless. В то время как группы alogin и xlogin охватили тысячи устройств, rlogin затронул лишь 213 устройств, что делает его менее масштабным, но всё ещё опасным. Другие группы, такие как axlogin и zylogin, ориентированы на NAS Axentra и VPN от Zyxel.

Отличительной особенностью Quad7 является использование захваченных роутеров TP-Link, которые злоумышленники применяют для атак на Microsoft 365. Эти устройства открыты для удалённого администрирования и прокси-соединений, что облегчает выполнение атак.

Также исследователями был обнаружен новый бэкдор, который получил название UPDTAE из-за опечатки в коде. Он позволяет удалённо управлять заражёнными устройствами через HTTP-обратные соединения, что даёт злоумышленникам полный контроль над техникой.

В последние месяцы операторы Quad7 улучшили тактики управления ботнетом, перейдя на более скрытые способы передачи данных. Вместо использования открытых прокси-серверов SOCKS, они начали применять протокол KCP, который обеспечивает более быструю связь через UDP, хотя и требует больше пропускной способности. Новый инструмент FsyNet позволяет скрывать трафик и затрудняет его обнаружение.

Темы:УгрозыботнетмаршрутизаторыVPNSEKOIA
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...