- 13,887
- 20
- 8 Ноя 2022
7000 IP-адресов участвуют в активной кампании по заражению устройств.
Компания Sekoia .io совместно с Intrinsec Для просмотра ссылки Войдиили Зарегистрируйся работу ботнета Quad7 (7777), который использует порт TCP/7777 на заражённых маршрутизаторах и проводит брутфорс -атаки на аккаунты Microsoft 365 по всему миру. Специалисты обнаружили атаки на 0,11% отслеживаемых аккаунтов.
Ключевые моменты, которые выделили исследователи:
Размер окна TCP указал на скомпрометированный роутер
Исследователи мониторили маршрутизатор TP-Link WR841N с уязвимой прошивкой, предоставив к нему доступ с пяти разных IP-адресов. Специалисты настроили удалённый анализ и использовали библиотеку Scapy для мониторинга попыток аутентификации.
После нескольких дней ожидания была зафиксирована атака, при которой злоумышленник использовал уязвимость для раскрытия файлов и выполнения кода. Хакер запустил Для просмотра ссылки Войдиили Зарегистрируйся (легковесный SSH-агент) на более высоком порту и передал пакет утилит Для просмотра ссылки Войди или Зарегистрируйся через SSH-сессию, после чего покинул маршрутизатор, очистив следы.
В другом случае мониторинг заражённого маршрутизатора Archer C7 v2.0 обнаружил подозрительные процессы: telnetd, xlogin и socks5. Злоумышленник деактивировал веб-интерфейс, убив процесс httpd. Анализ позволил получить загруженные на роутер двоичные файлы.
Двоичный файл Telnet прослушивает TCP/7777 и перенаправляет входящие соединения на простую аутентифицированную оболочку с именем xlogin. Кроме того, с помощью прокси-сервера Для просмотра ссылки Войдиили Зарегистрируйся прослушивается порт SOCKS/11288, через который проводятся брутфорс-атаки на аккаунты Microsoft 365.
Анализ сетевого трафика показал, что ботнет Quad7 используется для атак методом Password Spraying на аккаунты Microsoft 365. Были зафиксированы подключения к серверам для проверки IP-адресов и обновления бинарных файлов. Несмотря на проведенное исследование, остаются нераскрытые вопросы – атрибуция атак, используемые уязвимости и географическое распределение ботнета. Исследователи Sekoia.io призывают компании, обладающие более широкой картиной, помочь в решении этих загадок.
Компания Sekoia .io совместно с Intrinsec Для просмотра ссылки Войди
Ключевые моменты, которые выделили исследователи:
- Эволюция ботнета: Quad7 существует давно и развивается. Количество уникальных IP-адресов сократилось с 16 000 в августе 2022 года до 7 000 в июле 2024 года. Наибольшее количество заражённых устройств находится в Болгарии, России, США и Украине.
- Цели ботнета: Quad7 нацелен на различные IoT-устройства, включая IP-камеры, NAS-устройства и SOHO-маршрутизаторы, преимущественно TP-Link.
- Обнаружение TP-Link: Операторы ботнета отключают интерфейс управления TP-Link после взлома, что затрудняет обнаружение. Исследователи использовали инструмент hping3 и обнаружили, что большинство устройств имеют размер окна TCP, характерный для старых версий ядра Linux, используемых в маршрутизаторах TP-Link.
Размер окна TCP указал на скомпрометированный роутер
Исследователи мониторили маршрутизатор TP-Link WR841N с уязвимой прошивкой, предоставив к нему доступ с пяти разных IP-адресов. Специалисты настроили удалённый анализ и использовали библиотеку Scapy для мониторинга попыток аутентификации.
После нескольких дней ожидания была зафиксирована атака, при которой злоумышленник использовал уязвимость для раскрытия файлов и выполнения кода. Хакер запустил Для просмотра ссылки Войди
В другом случае мониторинг заражённого маршрутизатора Archer C7 v2.0 обнаружил подозрительные процессы: telnetd, xlogin и socks5. Злоумышленник деактивировал веб-интерфейс, убив процесс httpd. Анализ позволил получить загруженные на роутер двоичные файлы.
Двоичный файл Telnet прослушивает TCP/7777 и перенаправляет входящие соединения на простую аутентифицированную оболочку с именем xlogin. Кроме того, с помощью прокси-сервера Для просмотра ссылки Войди
Анализ сетевого трафика показал, что ботнет Quad7 используется для атак методом Password Spraying на аккаунты Microsoft 365. Были зафиксированы подключения к серверам для проверки IP-адресов и обновления бинарных файлов. Несмотря на проведенное исследование, остаются нераскрытые вопросы – атрибуция атак, используемые уязвимости и географическое распределение ботнета. Исследователи Sekoia.io призывают компании, обладающие более широкой картиной, помочь в решении этих загадок.
- Источник новости
- www.securitylab.ru
