Новости От камеры до облака: Quad7 – враг TP-Link и Microsoft 365

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
7000 IP-адресов участвуют в активной кампании по заражению устройств.


1ev5921h214omqcedj1rz5uxopsj36wl.jpg


Компания Sekoia .io совместно с Intrinsec Для просмотра ссылки Войди или Зарегистрируйся работу ботнета Quad7 (7777), который использует порт TCP/7777 на заражённых маршрутизаторах и проводит брутфорс -атаки на аккаунты Microsoft 365 по всему миру. Специалисты обнаружили атаки на 0,11% отслеживаемых аккаунтов.

Ключевые моменты, которые выделили исследователи:

  • Эволюция ботнета: Quad7 существует давно и развивается. Количество уникальных IP-адресов сократилось с 16 000 в августе 2022 года до 7 000 в июле 2024 года. Наибольшее количество заражённых устройств находится в Болгарии, России, США и Украине.
  • Цели ботнета: Quad7 нацелен на различные IoT-устройства, включая IP-камеры, NAS-устройства и SOHO-маршрутизаторы, преимущественно TP-Link.
  • Обнаружение TP-Link: Операторы ботнета отключают интерфейс управления TP-Link после взлома, что затрудняет обнаружение. Исследователи использовали инструмент hping3 и обнаружили, что большинство устройств имеют размер окна TCP, характерный для старых версий ядра Linux, используемых в маршрутизаторах TP-Link.

q3xt88n8ake3c07mgh0l22ckatyrm8e3.png


Размер окна TCP указал на скомпрометированный роутер

Исследователи мониторили маршрутизатор TP-Link WR841N с уязвимой прошивкой, предоставив к нему доступ с пяти разных IP-адресов. Специалисты настроили удалённый анализ и использовали библиотеку Scapy для мониторинга попыток аутентификации.

После нескольких дней ожидания была зафиксирована атака, при которой злоумышленник использовал уязвимость для раскрытия файлов и выполнения кода. Хакер запустил Для просмотра ссылки Войди или Зарегистрируйся (легковесный SSH-агент) на более высоком порту и передал пакет утилит Для просмотра ссылки Войди или Зарегистрируйся через SSH-сессию, после чего покинул маршрутизатор, очистив следы.

В другом случае мониторинг заражённого маршрутизатора Archer C7 v2.0 обнаружил подозрительные процессы: telnetd, xlogin и socks5. Злоумышленник деактивировал веб-интерфейс, убив процесс httpd. Анализ позволил получить загруженные на роутер двоичные файлы.

Двоичный файл Telnet прослушивает TCP/7777 и перенаправляет входящие соединения на простую аутентифицированную оболочку с именем xlogin. Кроме того, с помощью прокси-сервера Для просмотра ссылки Войди или Зарегистрируйся прослушивается порт SOCKS/11288, через который проводятся брутфорс-атаки на аккаунты Microsoft 365.

Анализ сетевого трафика показал, что ботнет Quad7 используется для атак методом Password Spraying на аккаунты Microsoft 365. Были зафиксированы подключения к серверам для проверки IP-адресов и обновления бинарных файлов. Несмотря на проведенное исследование, остаются нераскрытые вопросы – атрибуция атак, используемые уязвимости и географическое распределение ботнета. Исследователи Sekoia.io призывают компании, обладающие более широкой картиной, помочь в решении этих загадок.
 
Источник новости
www.securitylab.ru

Похожие темы