Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik Operasyonları
VPN Uç Noktaları, Kablosuz Yönlendiriciler ve Ağ Bağlantılı Depolama Aygıtları Hedeftir
Prajeet Nair (@prajeetskonuşuyor) •
10 Eylül 2024
Sekoia araştırmacıları, TCP yönlendirme port numarasından adını alan gizemli bir botnetin arkasındaki operatörlerin hedef cihazların evrenini genişlettiği ve altyapılarını gizlemek için adımlar attığı konusunda uyarıyor.
Ayrıca bakınız: Corelight’tan Brian Dye, Fidye Yazılımlarını Yenmede NDR’nin Rolü Hakkında
7777 – veya Quad7 – botnet’in 2023’te ortaya çıktığı ve esas olarak hacklenmiş TP-Link yönlendiricilerinden oluştuğu anlaşılıyor. Sekoia pazartesi günü botnet operatörlerinin Zyxel VPN uç noktalarını, Ruckus kablosuz yönlendiricilerini ve Axentra ağa bağlı depolama cihazlarını tehlikeye attığını söyledi.
Araştırmacılar ayrıca botnet’i “xlogin” olarak da izliyorlar çünkü enfekte olmuş cihazlar bir sürüm gösteriyor xlogin: pankartlar, enfekte cihazlara karşılık gelen varyantlarla. axlogin Axentra medya sunucularında konuşlandırılmış gibi görünüyor, rlogin Ruckus kablosuz yönlendiricilerine bağlıdır. Sekoia, yakın zamanda bir düşüş gözlemlediğini söyledi xlogin Çoğunlukla TP-Link router’larından oluşan botnet.
Artan araştırmacı ilgisinin yarattığı tanıtım, operatörleri altyapılarını gizlemek için adımlar atmaya itiyor gibi görünüyor. Bilgisayar korsanları ayrıca, tehlikeye atılmış yönlendiricilerde bir oturum açma arayüzünü açığa çıkarmanın, diğer bilgisayar korsanlarının botlarını kontrol altına almasına izin vermekle eşdeğer olduğuna karar vermiş olabilir. Araştırmacılar, her 30 saniyede bir bir komuta ve kontrol sunucusuna işaret eden HTTP ters kabukları gibi davranan arka kapılara dair kanıtlar buldular. Yine de, arka kapı kodu “birkaç hatayla kötü tasarlanmış ve çok basit kalıyor,” dedi Sekoia.
Ters kabuklar, Quad7 operatörlerinin benimsediği tek karartma tekniği değildir. Ayrıca artık “FysNet” olarak adlandırılan bir aracı kontrol etmek için UDP üzerinden KCP iletişim protokolünü kullanıyorlar. Operatörlerin KCP’yi benimsemesi, basit açık SOCKS proxy’lerini kullanmaktan bir geçişi gösterebilir – bu da internet tarama motorlarının ve güvenlik araştırmacılarının Quad7 botlarını izlemesini zorlaştırır.
Enfekte ASUS, De-Link ve Netgear ağ cihazları da artık bir virüs taşıyabilir. netd amacı cihazı operasyonel bir röle kutusu röle düğümüne dönüştürmek olan ikili. Siber savunucular için talihsiz bir şekilde, ikilinin dinleme portu her enfekte cihaz için rastgele belirlenir ve “tehlikeye atılmış cihazlar için geniş çaplı taramayı imkansız hale getirir.”
Sekoia, Quad7 operatörleri hakkında “HTTP ters kabukları gibi yeni araçların geliştirilmesi ve KCP gibi daha güvenli iletişim protokollerinin kullanılması, bunların tespit edilmekten kaçınmak ve faaliyetlerini atfetme çabalarını zorlaştırmak için aktif olarak çalıştıklarını gösteriyor” dedi.