神秘的 Quad7 僵尸网络的运营者正在利用已知和未知的安全漏洞,入侵多个品牌的 SOHO 路由器和 VPN 设备,并积极发展。
根据法国网络安全公司 Sekoia 的最新报告,目标包括 TP-LINK、Zyxel、Asus、Axentra、D-Link 和 NETGEAR 的设备。
研究人员 Felix Aimé、Pierre-Antoine D. 和 Charles M. 表示:“Quad7 僵尸网络运营商似乎正在改进其工具集,引入新的后门并探索新的协议,目的是增强隐身性并逃避其操作中继盒 (ORB) 的跟踪能力。”
Quad7,也称为 7777,于 2023 年 10 月首次由独立研究员 Gi7w0rm 公开记录,强调了该活动集群将 TP-Link 路由器和大华数字视频录像机 (DVR) 诱捕到僵尸网络的模式。
该僵尸网络因其在受感染设备上打开 TCP 端口 7777 而得名,据观察,该僵尸网络可以暴力破解 Microsoft 3665 和 Azure 实例。
VulnCheck 的 Jacob Baines 今年 1 月初指出:“僵尸网络似乎还感染了 MVPower、Zyxel NAS 和 GitLab 等其他系统,尽管感染量非常小。僵尸网络不仅在端口 7777 上启动服务,还在端口 11228 上启动 SOCKS5 服务器。”
Sekoia 和 Team Cymru 在过去几个月的后续分析发现,该僵尸网络不仅攻击了保加利亚、俄罗斯、美国和乌克兰的 TP-Link 路由器,而且还扩展到攻击开放了 TCP 端口 63256 和 63260 的华硕路由器。
最新调查结果显示,该僵尸网络由若干个集群组成——
xlogin(又名 7777 僵尸网络) - 由受感染的 TP-Link 路由器组成的僵尸网络,该路由器同时打开了 TCP 端口 7777 和 11288
alogin(又名 63256 僵尸网络)——由受感染的华硕路由器组成的僵尸网络,该路由器同时打开了 TCP 端口 63256 和 63260
rlogin - 由受感染的 Ruckus Wireless 设备组成的僵尸网络,这些设备打开了 TCP 端口 63210
axlogin - 一个能够攻击 Axentra NAS 设备的僵尸网络(目前尚未在野外检测到)
zylogin - 由受感染的 Zyxel VPN 设备组成的僵尸网络,这些设备开放了 TCP 端口 3256
感染量排名前三的国家是保加利亚、美国和乌克兰。
进一步表明战术演变的是,攻击者现在使用一个名为 UPDTAE 的新后门,该后门建立基于 HTTP 的反向 shell,以在受感染的设备上建立远程控制并执行从命令和控制 (C2) 服务器发送的命令。
目前尚不清楚该僵尸网络的具体目的或幕后黑手。
“关于 7777 [僵尸网络],我们只看到针对 Microsoft 365 帐户的暴力破解尝试。”Aimé 告诉该出版物。“对于其他僵尸网络,我们仍然不知道它们是如何使用的。”
“我们发现攻击者试图通过在受感染的边缘设备上使用新的恶意软件来变得更加隐秘。此举的主要目的是防止追踪附属僵尸网络。”
技术报告:https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/
