Los operadores de la misteriosa botnet Quad7 están actuando activamente para comprometer múltiples marcas de enrutadores SOHO y dispositivos VPN mediante la explotación de una combinación de vulnerabilidades de seguridad conocidas y desconocidas.
Los objetivos incluyen dispositivos de TP-LINK, Zyxel, Asus, Axentra, D-Link y NETGEAR, según un nuevo informe de la empresa francesa de ciberseguridad Sekoia.
“Los operadores de la botnet Quad7 parecen estar evolucionando su conjunto de herramientas, introduciendo una nueva puerta trasera y explorando nuevos protocolos, en un esfuerzo por mejorar el sigilo y evadir las capacidades de seguimiento de sus cajas de retransmisión operativas (ORB)”, dijeron los investigadores Felix Aimé, Pierre-Antoine. D. y Carlos M. dicho.
Quad7, también llamado 7777, fue documentado públicamente por primera vez por el investigador independiente Gi7w0rm en octubre de 2023, destacando la tendencia del grupo empresarial a atrapar enrutadores TP-Link y grabadoras de video digital (DVR) Dahua en una botnet.
Se ha observado que la botnet, que recibe su nombre porque abre el puerto TCP 7777 en dispositivos comprometidos, fuerza bruta instancias de Microsoft 3665 y Azure.
“La botnet también parece infectar otros sistemas como MVPower, Zyxel NAS y GitLab, aunque en un volumen muy bajo”, dijo Jacob Baines de VulnCheck. nota a principios de enero. “La botnet no sólo inicia un servicio en el puerto 7777. También inicia un servidor SOCKS5 en el puerto 11228”.
Un análisis posterior llevado a cabo por Sekoia y Team Cymru durante los últimos meses reveló que la botnet no solo comprometió los enrutadores TP-Link en Bulgaria, Rusia, Estados Unidos y Ucrania, sino que desde entonces también se ha expandido a los enrutadores ASUS con puertos TCP 63256. y 63260 abierto.
Los últimos hallazgos muestran que la botnet se compone de tres grupos adicionales:
- xlogin (también conocido como botnet 7777): una botnet que consta de enrutadores TP-Link comprometidos que tienen abiertos los puertos TCP 7777 y 11288.
- alogin (también conocido como botnet 63256): una botnet que consta de enrutadores ASUS comprometidos que tienen abiertos los puertos TCP 63256 y 63260.
- rlogin: una botnet que consta de dispositivos Ruckus Wireless comprometidos con el puerto TCP abierto 63210
- axlogin: una botnet capaz de atacar dispositivos NAS de Axentra (aún no detectada en el medio ambiente)
- zylogin: una botnet que consta de dispositivos VPN Zyxel comprometidos con el puerto TCP 3256 abierto
Sekoia dijo a The Hacker News que los países con mayor número de infecciones son Bulgaria (1.093), Estados Unidos (733) y Ucrania (697).
En otra señal de evolución táctica, los actores de amenazas ahora están utilizando una nueva puerta trasera denominada UPDTAE que establece un shell inverso basado en HTTP para establecer control remoto sobre dispositivos infectados y ejecutar comandos enviados desde un servidor de comando y control (C2).
Aún no está claro cuál es el propósito de la botnet o quién está detrás de ella, pero la compañía dijo que la actividad probablemente sea obra de un actor de amenazas patrocinado por el estado chino.
“Con respecto a 7777 [botnet]”Solo hemos visto intentos de fuerza bruta contra cuentas de Microsoft 365”, dijo Aimé a la publicación. “En el caso de otras botnets, todavía no sabemos cómo se utilizan. »
“Sin embargo, después de discusiones con otros investigadores y nuevos hallazgos, estamos casi seguros de que los operadores son más probablemente CN patrocinados por el estado que simples ciberdelincuentes que hacen [business email compromise]”.”
“Estamos viendo que actores maliciosos intentan ser más sigilosos mediante el uso de nuevo malware en dispositivos periféricos comprometidos. El objetivo principal detrás de esto es evitar el seguimiento de las botnets afiliadas. »