Os operadores do misterioso botnet Quad7 estão evoluindo ativamente, comprometendo diversas marcas de roteadores SOHO e dispositivos VPN, aproveitando uma combinação de falhas de segurança conhecidas e desconhecidas.
Os alvos incluem dispositivos da TP-LINK, Zyxel, Asus, Axentra, D-Hyperlink e NETGEAR, de acordo com um novo relatório da empresa francesa de segurança cibernética Sekoia.
“Os operadores da botnet Quad7 parecem estar evoluindo seu conjunto de ferramentas, introduzindo um novo backdoor e explorando novos protocolos, com o objetivo de aumentar a discrição e escapar das capacidades de rastreamento de suas caixas de retransmissão operacionais (ORBs)”, disseram os pesquisadores Felix Aimé, Pierre-Antoine D. e Charles M.
O Quad7, também chamado de 7777, foi documentado publicamente pela primeira vez pelo pesquisador independente Gi7w0rm em outubro de 2023, destacando o padrão do cluster de atividades de capturar roteadores TP-Hyperlink e gravadores de vídeo digitais (DVRs) Dahua em uma botnet.
O botnet, que recebe esse nome porque abre a porta TCP 7777 em dispositivos comprometidos, foi observado fazendo força bruta em instâncias do Microsoft 3665 e do Azure.
“O botnet também parece infectar outros sistemas como MVPower, Zyxel NAS e GitLab, embora em um quantity muito baixo”, observou Jacob Baines, da VulnCheck, no início de janeiro. “O botnet não inicia apenas um serviço na porta 7777. Ele também ativa um servidor SOCKS5 na porta 11228.”
Análises subsequentes feitas pela Sekoia e pela Group Cymru nos últimos meses descobriram que a botnet não apenas comprometeu roteadores TP-Hyperlink na Bulgária, Rússia, EUA e Ucrânia, mas também se expandiu para atingir roteadores ASUS que tinham as portas TCP 63256 e 63260 abertas.
As últimas descobertas mostram que a botnet é composta por três clusters adicionais –
- xlogin (também conhecido como botnet 7777) – Uma botnet composta por roteadores TP-Hyperlink comprometidos que têm as portas TCP 7777 e 11288 abertas
- alogin (também conhecido como botnet 63256) – Uma botnet composta por roteadores ASUS comprometidos que têm as portas TCP 63256 e 63260 abertas
- rlogin – Uma botnet composta por dispositivos Ruckus Wi-fi comprometidos que têm a porta TCP 63210 aberta
- axlogin – Uma botnet capaz de ter como alvo dispositivos Axentra NAS (ainda não detectado na natureza)
- zylogin – Uma botnet composta por dispositivos Zyxel VPN comprometidos que têm a porta TCP 3256 aberta
Sekoia disse ao The Hacker Information que os países com o maior número de infecções são Bulgária (1.093), EUA (733) e Ucrânia (697).
Em mais um sinal de evolução tática, os agentes da ameaça agora utilizam um novo backdoor chamado UPDTAE, que estabelece um shell reverso baseado em HTTP para estabelecer controle remoto nos dispositivos infectados e executar comandos enviados de um servidor de comando e controle (C2).
Atualmente, não está claro qual é o propósito exato da botnet ou quem está por trás dela, mas a empresa disse que a atividade provavelmente é obra de um agente de ameaça patrocinado pelo Estado chinês.
“Em relação ao 7777 (botnet), vimos apenas tentativas de força bruta contra contas do Microsoft 365”, disse Aimé à publicação. “Para os outros botnets, ainda não sabemos como eles são usados.”
“No entanto, após trocas de ideias com outros pesquisadores e novas descobertas, estamos quase certos de que os operadores são mais provavelmente patrocinados pelo Estado da China do que simples criminosos cibernéticos (que comprometem e-mails comerciais).”
“Estamos vendo o agente de ameaça tentando ser mais furtivo usando novos malwares nos dispositivos de ponta comprometidos. O principal objetivo por trás desse movimento é impedir o rastreamento das botnets afiliadas.”
