Operatorii Botnet-ului Quad7 compromit multiple routere și aplicații VPN
Sursă: https://cybersecuritynews.com
Rețeaua botnet Quad7 (aka 7777 botnet, xlogin botnet) a atras atenția pentru utilizarea de routere TP-Link compromise pentru a efectua atacuri asupra conturilor Microsoft 365.
Acest botnet utilizează în principal tehnici de tip password-spraying, ce implică încercarea de a se conecta cu o listă de parole comune pentru mai multe conturi, în loc să ghicească parolele individuale pentru fiecare cont.
Specialiștii în securitate au identificat că operatorii botnet-ului Quad7 au atacat în mod activ mai multe routere și aplicații VPN.
În timp ce urmăreau botnet-ul Quad7, analiștii de securitate au descoperit un ansamblu de amenințări în expansiune cu cinci grupuri distincte de *login (alogin, xlogin, axlogin, rlogin, zylogin) care vizează diverse mărci de routere, inclusiv TP-LINK, Zyxel, Asus, Axentra, D-Link și Netgear.
Rețeaua botnet xlogin, care compromite routerele TP-Link, utilizează porturile TCP 7777 pentru shell-uri bind cu privilegii de root și 11288 pentru proxy-uri SOCKS5, în principal pentru atacurile de tip brute-force M365.
S-a constatat că botnet-ul alogin vizează routerele Asus, operând pe porturile 63256 (TELNET) și 63260 (SOCKS5), facilitând realizarea releelor de atac VPN, SSH și TELNET
Noile evoluții includ backdoors UPDATE, reverse shell-uri bazate pe HTTP pentru arhitecturile MIPS și ARM, utilizarea libcurl pentru comunicarea cu semnale de 30 de secunde și un User-Agent IOT.
De asemenea, operatorii testează FsyNet, care este un proiect sofisticat care utilizează protocolul KCP prin UDP (portul 9999) pentru comunicarea cu latență redusă.
În cadrul folderului ASUS, specialiștii au găsit un script shell denumit exec.sh ce vizează dispozitive de rețea precum ASUS, D-LINK DIR-610 și Netgear R7000.
Acest script descarcă și rulează fișierele netd și tun.ko prin configurarea regulilor firewall.
Atacatorii evoluează de la greșeli anterioare la metode mai sofisticate, inclusiv reverse shell-uri HTTP și protocoale securizate, ceea ce complică eforturile de atribuire și detectare.
Sursă: https://cybersecuritynews.com/quad7-botnet-compromises-routers-vpns/
