Os operadores do misterioso botnet Quad7 estão comprometendo vários tipos de roteadores SOHO e dispositivos VPN usando uma combinação de falhas de segurança conhecidas e desconhecidas.
Os alvos incluem dispositivos da TP-LINK, Zyxel, Asus, Axentra, D-Link e NETGEAR, de acordo com um novo relatório da empresa francesa de segurança cibernética Sekoia.
“Os operadores de botnet Quad7 parecem estar mudando seu conjunto de ferramentas, introduzindo novos backdoors e testando novos objetivos, com o objetivo de melhorar a furtividade e evitar as capacidades de rastreamento de suas caixas ativas (ORBs)”, pesquisadores Felix Aimé, Pierre-Antoine D. ., e Charles M. disse.
Quad7, também chamado de 7777, foi documentado publicamente pela primeira vez pelo pesquisador independente Gi7w0rm em outubro de 2023, destacando um padrão agrupado de atividade envolvendo roteadores TP-Link e gravadores de vídeo digital (DVR) Dahua na botnet.
O botnet, cujo nome vem do fato de abrir a porta TCP 7777 em dispositivos vulneráveis, foi visto infectando 3.665 ambientes Microsoft e Azure.
“A botnet parece estar se infiltrando em outros sistemas, como MVPower, Zyxel NAS e GitLab, embora em um volume muito menor”, observou Jacob Baines da VulnCheck no início de janeiro. “O botnet não executa apenas um serviço na porta 7777. Ele também executa um servidor SOCKS5 na porta 11228.”
Uma análise subsequente feita por Sekoia e Team Cymru há alguns meses descobriu que o botnet não apenas comprometeu os roteadores TP-Link na Bulgária, Rússia, EUA e Ucrânia, mas desde então se expandiu para atingir roteadores ASUS com porta -TCP 63256. e 63260 foram abertos.
Descobertas recentes mostram que a botnet é composta por três outros grupos –
- xlogin (também conhecido como botnet 7777) – Um botnet composto por roteadores TP-Link vulneráveis com portas TCP 7777 e 11288 abertas
- alogin (também conhecido como 63256 botnet) – Um botnet composto por roteadores ASUS vulneráveis com portas TCP 63256 e 63260 abertas
- rlogin – Um botnet composto por dispositivos sem fio Ruckus com porta TCP 63210 aberta
- axlogin – Um botnet que pode atingir dispositivos NAS Axentra (ainda não disponível no mercado)
- zylogin – Um botnet feito de dispositivos VPN Zyxel vulneráveis com porta TCP 3256 aberta
Sekoia disse ao The Hacker News que os países com o maior número de pessoas infectadas são a Bulgária (1.093), os EUA (733) e a Ucrânia (697).
Em outro sinal da evolução das táticas, os agentes de ameaças estão agora usando um novo backdoor chamado UPDTAE, que estabelece um shell baseado em HTTP para acessar remotamente dispositivos infectados e executar comandos enviados do servidor de comando e controle (C2).
Ainda não está claro qual é o propósito da botnet ou quem está por trás dela, mas a empresa disse que é possível que a operação seja obra de um ator de ameaça patrocinado pelo governo chinês.
“Cerca de 7777 [botnet]vimos apenas tentativas maliciosas contra contas do Microsoft 365”, disse Aimé à publicação. “Com outras botnets, ainda não sabemos como elas são usadas”.
“No entanto, após discussões com outros investigadores e novas descobertas, temos quase a certeza de que os operadores serão provavelmente financiados pela CN pelo governo, em vez de simples cibercriminosos. [business email compromise].”
“Vemos um ator de ameaça tentando ser mais sutil ao executar malware em máquinas vulneráveis. O principal objetivo dessa medida é impedir o rastreamento de botnets associados”.
