Quad7 botnet’i (diğer adlarıyla 7777 botnet, xlogin botnet), Microsoft 365 hesaplarına saldırılar düzenlemek için ele geçirilmiş TP-Link yönlendiricilerini kullanmasıyla dikkat çekti.
Bu botnet, esas olarak her bir hesap için ayrı ayrı şifreleri tahmin etmeye çalışmak yerine, birçok hesapta kullanılan ortak şifrelerden oluşan bir listeyle oturum açmayı deneyen şifre püskürtme tekniklerini kullanıyor.
Sekoia’daki araştırmacılar, Quad7 botnet operatörlerinin aktif olarak birçok yönlendiriciye ve VPN cihazına saldırdığını tespit etti.
Güvenlik analistleri Quad7 botnet’ini izlerken, TP-LINK, Zyxel, Asus, Axentra, D-Link ve Netgear dahil olmak üzere çeşitli yönlendirici markalarını hedef alan beş ayrı *oturum açma kümesinden (alogin, xlogin, axlogin, rlogin, zylogin) oluşan genişleyen bir tehdit ortamını ortaya çıkardı.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Quad7 Botnet Operatörleri Yönlendiricileri Tehlikeye Atıyor
TP-Link yönlendiricilerini tehlikeye atan xlogin botneti, kök ayrıcalıklı bağlama kabukları için 7777 TCP portlarını ve SOCKS5 proxy’leri için 11288’i esas olarak M365 kaba kuvvet saldırıları için kullanır.
Giriş botnetinin Asus yönlendiricilerini hedef aldığı, 63256 (TELNET) ve 63260 (SOCKS5) portlarında çalıştığı ve VPN, SSH ve TELNET saldırı rölelerini kolaylaştırdığı tespit edildi.
Yeni gelişmeler arasında UPDATE arka kapıları, MIPS ve ARM mimarileri için HTTP tabanlı ters kabuklar, 30 saniyelik işaretlerle iletişim için libcurl kullanımı ve bir “IOT” Kullanıcı Aracısı yer alıyor.
.webp)
Bu arka kapılar, C2 URL’lerini güncellerken ve sistem komutlarını yürütürken JSON POST istekleri aracılığıyla komutları yürütür.
Operatörler ayrıca düşük gecikmeli iletişim için UDP (9999 portu) üzerinden KCP protokolünü kullanan gelişmiş bir proje olan FsyNet’i de test ediyor.
FsyNet’in bileşenleri (asr_node, node-r-control, node-relay) sabit kodlanmış anahtarlar ve IV’lerle çok katmanlı şifreleme uygular.
.webp)
Açık SOCKS proxy’lerinden şifrelenmiş, ters kabuklu mimarilere doğru gerçekleşen bu evrim, tehdit aktörlerinin daha gizli, daha güçlü saldırı altyapılarına doğru adaptasyonunu göstermektedir.
Araştırmacılar, ASUS klasöründe ASUS, D-LINK DIR-610 ve Netgear R7000 gibi ağ aygıtlarını hedef alan “exec.sh” adlı bir kabuk betiği buldular.
Bu script güvenlik duvarı kurallarını ayarlayarak netd ve tun.ko dosyalarını indirir ve çalıştırır.
Tun.ko mevcut değilken, uzmanlar tarafından netd analiz edildi ve tehlikeye atılan cihazlar KCP yerine CJDNS darknet protokolünü kullanarak röle düğümlerine dönüştürüldü.
Netd kurulduğunda Salsa20 ile şifrelenmiş iki dosya oluşturur: “netd.dat (yapılandırma)” ve “sys.dat (sistem bilgisi)”, bunları saldırganın sunucusuna gönderir.
Bunun yanı sıra, netd.dat dosyası saldırganın ORB’si (tehlikeye atılmış cihaz) ile komuta ve kontrol (C2) sunucusu arasında güvenli bir UDP bağlantısı kurulmasını sağlar.
Daha önceki FsyNet ikilisinin aksine, netd rastgele UDP portları kullanır; bu da tarama yoluyla tehlikeye atılmış cihazların tespit edilmesini zorlaştırır.
Bu yaklaşım, anonim ve dağıtılmış saldırılar (örneğin röle kaba kuvvet saldırısı) için uç cihazları kullanan Quad7 botnetinin bir parçasıdır.
Operatörler, daha önceki hatalardan, HTTP ters kabukları ve güvenli protokoller de dahil olmak üzere daha karmaşık yöntemlere doğru evriliyor ve bu da atıf ve tespit çabalarını zorlaştırıyor.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndir