Το botnet Quad7 στοχεύει τώρα περισσότερες συσκευές SOHO (Small office/home office), με ένα νέο custom malware για συσκευές Zyxel VPN, Ruckus wireless routers και Axentra media servers.
Προηγουμένως, η Sekoia είχε παρατηρήσει ότι το botnet στόχευε TP-Link routers και ο ερευνητής Gi7w0rm ονόμασε το malware Quad7, λόγω της στόχευσης της θύρας 7777. Στο στόχαστρο έχουν βρεθεί και ASUS routers.
Η Sekoia συνέταξε, τώρα, μια νέα αναφορά που προειδοποιεί για την εξέλιξη του Quad7 botnet. Οι ερευνητές παρατήρησαν τη δημιουργία νέων staging servers, νέα botnet clusters, χρήση νέων backdoors και reverse shells και απομάκρυνση από SOCKS proxies.
Δείτε επίσης: Το νέο Zergeca botnet πραγματοποιεί DDoS επιθέσεις
Αν και δεν είναι ξεκάθαροι οι βασικοί στόχοι των χειριστών του Quad7 botnet, κάποιοι πιστεύουν ότι οι hackers ενδιαφέρονται για distributed brute-force επιθέσεις σε λογαριασμούς VPN, Telnet, SSH και Microsoft 365.
Στόχευση Zyxel VPN και Ruckus routers
Το botnet Quad7 περιλαμβάνει πολλά υποσυστήματα, με καθένα από αυτά να στοχεύει συγκεκριμένες συσκευές και να εμφανίζει ένα διαφορετικό welcome banner κατά τη σύνδεση στη θύρα Telnet.
Για παράδειγμα, το Telnet welcome banner στις ασύρματες συσκευές Ruckus είναι «rlogin».
Η πλήρης λίστα των κακόβουλων clusters και των welcome banners τους είναι η εξής:
- xlogin – Telnet συνδεδεμένο στη θύρα TCP 7777 σε TP-Link routers
- alogin – Telnet συνδεδεμένο στη θύρα TCP 63256 σε ASUS routers
- rlogin – Telnet συνδεδεμένο στη θύρα TCP 63210 σε ασύρματες συσκευές Ruckus
- axlogin –Telnet banner σε συσκευές Axentra NAS
- zylogin – Telnet συνδεδεμένο στη θύρα TCP 3256 σε συσκευές Zyxel VPN
Ορισμένα από αυτά, όπως το ‘xlogin’ και το ‘alogin’, θέτουν σε κίνδυνο χιλιάδες συσκευές.
Τα τελευταία ευρήματα της Sekoia δείχνουν ότι το botnet Quad7 έχει εξελιχθεί σημαντικά στις μεθόδους και τις τακτικές επικοινωνίας του, εστιάζοντας στην αποφυγή εντοπισμού και στη μεγαλύτερη αποτελεσματικότητα.
Δείτε επίσης: Η OVHcloud κατηγορεί την επίθεση DDoS στο botnet MikroTik
Οι open SOCKS proxies, στους οποίους βασιζόταν το botnet σε μεγάλο βαθμό σε προηγούμενες εκδόσεις, καταργούνται σταδιακά. Τώρα, οι χειριστές του Quad7 χρησιμοποιούν το πρωτόκολλο επικοινωνίας KCP για επιθέσεις, μέσω του εργαλείου «FsyNet», που επικοινωνεί μέσω UDP. Η ανίχνευση και η παρακολούθηση της δραστηριότητας του botnet γίνεται έτσι πολύ πιο δύσκολη.
Οι ερευνητές παρατήρησαν και τη χρήση ενός backdoor με το όνομα «UPDTAE» που δημιουργεί HTTP reverse shells για απομακρυσμένο έλεγχο στις μολυσμένες συσκευές.
Δοκιμάζεται, επίσης, ένα νέο ‘netd’ binary που χρησιμοποιεί το πρωτόκολλο τύπου darknet, CJD route2, επομένως είναι πιθανό να δημιουργηθεί ένας ακόμα πιο κρυφός μηχανισμός επικοινωνίας.
Προστασία από malware botnet
Για να προστατευτείτε από το Quad7 και άλλα Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις bοtnet συχνά εκμεταλλεύονται γνωστές ευπάθειες.
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Δείτε επίσης: Botnet εκμεταλλεύεται ευπάθεια σε Zyxel NAS συσκευές
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet (π.χ. Quad7). Οι επιθέσεις bοtnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: www.bleepingcomputer.com
