Quad7 Botnet, SOHO Yönlendiricilerini ve VPN Cihazlarını Hedef Alacak Şekilde Genişliyor


11 Eylül 2024Ravie LakshmananAğ Güvenliği / Hackleme

Quad7 Botnet

Gizemli Quad7 botnet operatörleri, bilinen ve bilinmeyen güvenlik açıklarının bir kombinasyonundan yararlanarak çeşitli markalardaki SOHO yönlendiricilerini ve VPN cihazlarını tehlikeye atarak aktif olarak gelişiyor.

Fransız siber güvenlik şirketi Sekoia’nın yeni raporuna göre hedefler arasında TP-LINK, Zyxel, Asus, Axentra, D-Link ve NETGEAR’a ait cihazlar yer alıyor.

Araştırmacılar Felix Aimé, Pierre-Antoine D. ve Charles M., “Quad7 botnet operatörleri, gizliliği artırmak ve operasyonel röle kutularının (ORB) izleme yeteneklerinden kaçınmak amacıyla yeni bir arka kapı sunarak ve yeni protokoller keşfederek araç setlerini geliştiriyor gibi görünüyor” dedi.

Quad7, diğer adıyla 7777, ilk olarak Ekim 2023’te bağımsız araştırmacı Gi7w0rm tarafından kamuoyuna açıklanmış ve etkinlik kümesinin TP-Link yönlendiricilerini ve Dahua dijital video kayıt cihazlarını (DVR’ler) bir botnet’e dahil etme örüntüsünü vurgulamıştı.

Siber Güvenlik

Adını, saldırıya uğramış cihazlarda 7777 numaralı TCP portunu açmasından alan botnetin, Microsoft 3665 ve Azure örneklerine kaba kuvvet uyguladığı gözlemlendi.

“Botnet ayrıca MVPower, Zyxel NAS ve GitLab gibi diğer sistemleri de etkiliyor gibi görünüyor, ancak çok düşük bir hacimde,” diye belirtti VulnCheck’ten Jacob Baines bu Ocak ayının başlarında. “Botnet sadece 7777 numaralı portta bir hizmet başlatmıyor. Ayrıca 11228 numaralı portta bir SOCKS5 sunucusu da başlatıyor.”

Sekoia ve Team Cymru tarafından son birkaç ayda yapılan analizler, botnetin yalnızca Bulgaristan, Rusya, ABD ve Ukrayna’daki TP-Link yönlendiricilerini tehlikeye atmakla kalmayıp, o zamandan beri 63256 ve 63260 TCP portları açık olan ASUS yönlendiricilerini de hedef alacak şekilde genişlediğini ortaya koydu.

Quad7 Botnet

Son bulgular, botnetin üç ek kümeden oluştuğunu gösteriyor –

  • xlogin (diğer adıyla 7777 botnet) – Hem 7777 hem de 11288 TCP portları açık olan, tehlikeye atılmış TP-Link yönlendiricilerinden oluşan bir botnet
  • alogin (diğer adıyla 63256 botnet) – Hem 63256 hem de 63260 TCP portları açık olan tehlikeye atılmış ASUS yönlendiricilerinden oluşan bir botnet
  • rlogin – TCP portu 63210 açık olan tehlikeye atılmış Ruckus Wireless cihazlarından oluşan bir botnet
  • axlogin – Axentra NAS cihazlarını hedef alabilen bir botnet (henüz doğada tespit edilmedi)
  • zylogin – TCP portu 3256 açık olan, tehlikeye atılmış Zyxel VPN cihazlarından oluşan bir botnet

Sekoia, The Hacker News’e en fazla enfeksiyonun görüldüğü ülkelerin Bulgaristan (1.093), ABD (733) ve Ukrayna (697) olduğunu söyledi.

Siber Güvenlik

Taktiksel evrimin bir başka işareti olarak, tehdit aktörleri artık enfekte olmuş cihazlar üzerinde uzaktan kontrol kurmak ve bir komuta ve kontrol (C2) sunucusundan gönderilen komutları yürütmek için HTTP tabanlı bir ters kabuk oluşturan UPDTAE adlı yeni bir arka kapı kullanıyor.

Botnetin tam amacının ne olduğu veya arkasında kimin olduğu henüz belli değil ancak şirket, faaliyetin büyük ihtimalle Çin devlet destekli bir tehdit aktörünün işi olduğunu söyledi.

“7777 ile ilgili olarak [botnet]Aimé yayına, “Microsoft 365 hesaplarına yönelik yalnızca kaba kuvvet girişimleri gördük” dedi. “Diğer botnet’ler için, bunların nasıl kullanıldığını hâlâ bilmiyoruz.”

“Ancak, diğer araştırmacılarla yapılan görüşmeler ve yeni bulgular sonrasında, operatörlerin basit siber suçlular olmaktan ziyade CN devlet destekli olma ihtimalinin daha yüksek olduğundan neredeyse eminiz. [business email compromise].”

“Tehdit aktörünün, tehlikeye atılmış uç cihazlarda yeni kötü amaçlı yazılımlar kullanarak daha gizli olmaya çalıştığını görüyoruz. Bu hareketin ardındaki temel amaç, bağlı botnetlerin izlenmesini engellemektir.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link