O botnet Quad7 está evoluindo sua operação ao mirar dispositivos SOHO adicionais com novos malwares personalizados para appliances VPN da Zyxel, roteadores wireless da Ruckus e servidores de mídia da Axentra.
Isso vem na adição aos roteadores TP-Link previamente reportados por Sekoia, e primeiro relatados pelo pesquisador Gi7w0rm, que deu ao botnet seu nome por mirar a porta 7777.
Além disso, os roteadores ASUS foram alvo de um cluster separado descoberto pela Team Cymru duas semanas depois.
A Sekoia compilou um novo relatório alertando sobre a evolução do Quad7, que inclui a configuração de novos servidores de staging, lançamento de novos clusters de botnet, emprego de novas backdoors e reverse shells, e a mudança dos proxies SOCKS para uma operação mais discreta.
A contínua evolução do botnet mostra que seus criadores não foram dissuadidos pelos erros expostos pela análise de cibersegurança e agora estão transitando para tecnologias mais evasivas.
O objetivo operacional do Quad7 permanece obscuro, possivelmente para lançar ataques de brute-force distribuídos em VPNs, Telnet, SSH e contas do Microsoft 365.
O botnet Quad7 compreende vários subclusters identificados como variantes de *login, com cada um deles mirando dispositivos específicos e exibindo um banner de boas-vindas diferente ao conectar na porta Telnet.
Por exemplo, o banner de boas-vindas do Telnet em dispositivos wireless da Ruckus é 'rlogin', conforme ilustrado pelo resultado abaixo do Censys.
A lista completa de clusters maliciosos e seus banners de boas-vindas são:
xlogin – Telnet vinculado à porta TCP 7777 em roteadores TP-Link
alogin – Telnet vinculado à porta TCP 63256 em roteadores ASUS
rlogin – Telnet vinculado à porta TCP 63210 em dispositivos wireless da Ruckus.
axlogin – Banner no Telnet em dispositivos NAS da Axentra (Porta desconhecida pois não foi visto no ambiente natural)
zylogin – Telnet vinculado à porta TCP 3256 em appliances VPN da Zyxel
Alguns desses grandes clusters, como 'xlogin' e 'alogin', comprometem vários milhares de dispositivos.
Outros, como 'rlogin', que começou por volta de junho de 2024, contam apenas 298 infecções até a publicação deste documento.
O cluster 'zylogin' também é muito pequeno, com apenas dois dispositivos.
O cluster axlogin não mostra infecções ativas até o momento.
Ainda assim, esses subclusters emergentes podem sair da sua fase experimental ou incorporar novas vulnerabilidades que visam modelos mais amplamente expostos, então a ameaça continua significativa.
As últimas descobertas da Sekoia mostram que o botnet Quad7 evoluiu significativamente em seus métodos de comunicação e táticas, focando em evasão de detecção e eficácia operacional melhorada.
Primeiramente, os proxies SOCKS abertos, nos quais o botnet confiava fortemente em versões anteriores para relay de tráfego malicioso, como tentativas de brute-forcing, estão sendo eliminados.
Em vez disso, operadores do Quad7 agora utilizam o protocolo de comunicação KCP para relay de ataques através de uma nova ferramenta, 'FsyNet,' que se comunica via UDP, tornando a detecção e o rastreamento muito mais difíceis.
Além disso, os atores de ameaça agora utilizam uma nova backdoor chamada 'UPDTAE' que estabelece reverse shells HTTP para controle remoto nos dispositivos infectados.
Isso permite aos operadores controlar os dispositivos sem expor interfaces de login e deixar portas abertas que são facilmente descobertas via varreduras na internet, como Censys.
Há também experimentação com um novo binário 'netd' que usa o protocolo do tipo darknet CJD route2, então um mecanismo de comunicação ainda mais furtivo provavelmente está em desenvolvimento.
Para mitigar o risco de infecções por botnet, aplique a atualização de segurança de firmware mais recente do seu modelo, altere as credenciais de admin padrão por uma senha forte e desabilite os portais de admin web se não forem necessários.
Se o seu dispositivo não é mais suportado, é fortemente aconselhável que você atualize para um modelo mais novo que continue recebendo atualizações de segurança.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...