Araştırmacılar, TP-LINK, Zyxel, Asus, Axentra, D-Link ve Netgear gibi çeşitli küçük ofis ve ev ofisi (SOHO) yönlendiricilerini ve VPN cihazlarını hedef aldığı gözlemlenen kötü şöhretli bir siber suç grubu olan Quad7 botnet’ini (aynı zamanda 7777 botnet olarak da bilinir) yakından izlediler.
Araştırmacılar, Quad7 botnet’inin, tehlikeye atılmış cihazlardan oluşan daha büyük bir ağın yalnızca bir bileşeni olduğunu keşfettiklerini ve alogin, xlogin, axlogin, rlogin ve zylogin botnet’leri de dahil olmak üzere beş farklı oturum açma kümesinin belirlenip operatörlerine bağlandığını belirtiyorlar.
Quad7 Botnet’e Bağlı Beş Giriş Kümesi
Sekoia’nın TDR ekibinin araştırması, TP-Link yönlendiricileri, Asus yönlendiricileri, Ruckus Wireless ve Zyxeland cihazları da dahil olmak üzere çeşitli cihazların hedeflenen tehlikeye atılmasından sorumlu beş oturum açma kümesini tespit etti. Tehlikeye atıldıktan sonra, botnet bu enfekte cihazları VPN, telnet ve SSH hizmetleri gibi internete açık hizmetlere kaba kuvvet saldırıları göndermek için kullanır.
Quad7 botnet’i, daha önce bilinmeyenler de dahil olmak üzere birden fazla güvenlik açığını zincirleme yeteneğiyle bilinir ve bu da araştırmacıların botnet’in evrimini izlemesini zorlaştırır. Ek olarak, operatörler ayrıca daha yeni arka kapılar sunuyor ve saldırı operasyonlarının gizliliğini artırmak ve güvenlik ekiplerinden izlenmekten kaçınmak için farklı protokoller araştırıyor.
Bu botnetlerin her biri, kötü amaçlı yüklerini dağıtmak ve bunlara erişmek için belirli yönlendirici ve ağ cihazı markalarındaki güvenlik açıklarını hedef alır:
- Alogin (diğer adıyla 63256 botnet): Bu oturum açma kümesi, hem 63256 hem de 63260 TCP portları açık olan, tehlikeye atılmış Asus yönlendiricilerinden oluşan bir botnettir. TELNET/63256 portu, kök ayrıcalıklarına sahip bir bağlama kabuğunu barındırmak için hedeflenirken, SOCKS/63260 portu, parola korumalı bir Socks5 proxy’sini barındırmak için kullanılır.
- XGiriş: Xlogin botnet’i, belirli bir satıcı veya model belirtilmeden, tehlikeye atılmış cihazlardan oluşur. Botnet, radar altında kalmak ve tehlikeye atılmış cihazlarda bir oturum açma arayüzüne sahip olmaktan kaçınmak için tasarlanmıştır.
- Axlogin: Axlogin, Axentra NAS cihazlarını hedefleyen bir botnet kümesidir. Giriş arayüzü parola korumalıdır ve botnet gizli kalmak ve tespit edilmekten kaçınmak için tasarlanmıştır. Axlogin, Quad7 botnet’inin cephaneliğine yeni eklenen bir üründür.
- Rlogin: Rlogin, Ruckus Wireless cihazlarını hedef alan bir botnet kümesidir. Botnet, tehlikeye atılan cihazlarda oturum açma arayüzü olmadan radar altında kalacak şekilde tasarlanmıştır.
- Zylogin: Zylogin, Zyxel VPN cihazlarını hedef alan bir botnet kümesidir. Giriş arayüzü parola korumalıdır ve botnet gizli kalmak ve tespit edilmekten kaçınmak için tasarlanmıştır. Zylogin, Quad7 botnet’inin cephaneliğine yeni eklenen bir diğer üründür.
Ekibin analizi, alogin ve xlogin botnetlerinin binlerce cihazın tehlikeye atıldığı daha büyük bir ağ olduğunu, rlogin botnetinin ise daha küçük bir ağ olduğunu ve Ağustos 2024 sonu itibarıyla yalnızca 213 cihazın tespit edildiğini ortaya koydu.
Quad7 Operatörleri Protokolleri ve Teknikleri Keşfediyor
Giriş botnetlerine ek olarak, araştırma ekibi ‘UPDTAE’ arka kapıları olarak adlandırdıkları üç yeni HTTP tabanlı ters kabuk arka kapısı keşfetti. Bu arka kapıların, gizliliklerini ve izleme yeteneklerini geliştirme çabasıyla Quad7 operatörleri tarafından test edildiğine inanıyorlar.
UPDTAE arka kapıları libcurl kütüphanesiyle statik olarak bağlantılıdır ve ‘IOT’ olarak ayarlanmış bir Kullanıcı Aracısı ile HTTP isteklerini her 30 saniyede bir iletmek için kullanılır ve komut ve kontrol (C2) iletişimi yalnızca basit web sayfaları aracılığıyla gerçekleştirilir. Bu yaklaşım, Quad7 operatörlerinin tehlikeye atılmış yönlendiricilerde bir oturum açma arayüzü kullanmaktan kaçınmasını sağlar ve bu da güvenlik araştırmacılarının botnet’in evrimini izlemesini zorlaştırır.
Soruşturmada ayrıca Quad7 operatörlerinin saldırılarını iletmek için yeni protokoller ve teknikler araştırıyor olabileceğine ve önceki saldırılarda olduğu gibi açık Socks proxy’lerinin kullanımından vazgeçebileceğine dair kanıtlar ortaya çıkarıldı.
‘FsyNet’ lakaplı böyle bir proje, Quad7 operatörleri tarafından kontrol edilen bir sahneleme sunucusunda keşfedildi. FsyNet, Socks protokolü yerine, daha iyi gecikme sağlamak ancak daha yüksek bant genişliği tüketimiyle UDP üzerinden TCP benzeri bir protokol uygulayan bir Çin kütüphanesi olan KCP (Kcp) protokolünü kullanır. FsyNet projesinin, yeni protokolü işlemek üzere tasarlanmış gibi görünen üç ikili (asr_node, node-r-control ve node-relay) içerdiği bulundu.
Ayrıca ekip, Asus, D-Link ve Netgear dahil olmak üzere çeşitli satıcıları ve ağ cihazlarını hedeflemek için kullanılan ‘exec.sh’ adlı bir kabuk betiği buldu. Bu betik, Quad7 operatörlerinin gelişen araç setinin başka bir bileşeni olabilecek ‘netd’ adlı bir ikili dosyayı indirir ve yürütür.
Quad7 botnet’ine yönelik soruşturma ve ek giriş botnet’lerinin, HTTP tabanlı ters kabukların ve KCP gibi alternatif protokollerin potansiyel kullanımı ve testlerinin keşfi, operatörlerinin saldırı operasyonlarında gizliliği ve etkinliği artırmak için taktik ve araçlarda sürekli uyarlama yapma eğilimini endişe verici bir şekilde ortaya koyuyor.