De beheerders van het mysterieuze Quad7-botnet zijn druk bezig met het in gevaar brengen van verschillende merken SOHO-routers en VPN-apparaten door gebruik te maken van een combinatie van bekende en onbekende beveiligingslekken.
Volgens een nieuw rapport van het Franse cybersecuritybedrijf Sekoia zijn apparaten van TP-LINK, Zyxel, Asus, Axentra, D-Link en NETGEAR het doelwit van de aanvallen.
“Het lijkt erop dat de Quad7-botnetbeheerders hun toolset verder ontwikkelen, een nieuwe backdoor introduceren en nieuwe protocollen verkennen, met als doel de stealth-functie te verbeteren en de trackingmogelijkheden van hun operationele relay boxes (ORB’s) te omzeilen”, aldus onderzoekers Felix Aimé, Pierre-Antoine D. en Charles M.
Quad7, ook wel 7777 genoemd, werd voor het eerst publiekelijk gedocumenteerd door onafhankelijk onderzoeker Gi7w0rm in oktober 2023. Hierin werd het patroon van de activiteitscluster benadrukt, waarbij TP-Link-routers en digitale videorecorders (DVR’s) van Dahua in een botnet werden gevangen.
Het botnet, dat zijn naam ontleent aan het feit dat het TCP-poort 7777 opent op gecompromitteerde apparaten, is waargenomen bij het brute-forcen van Microsoft 3665- en Azure-instanties.
“Het botnet lijkt ook andere systemen te infecteren, zoals MVPower, Zyxel NAS en GitLab, hoewel in een zeer laag volume,” merkte Jacob Baines van VulnCheck eerder deze januari op. “Het botnet start niet alleen een service op poort 7777. Het start ook een SOCKS5-server op poort 11228.”
Uit latere analyses van Sekoia en Team Cymru in de afgelopen maanden is gebleken dat het botnet niet alleen TP-Link-routers in Bulgarije, Rusland, de VS en Oekraïne heeft gecompromitteerd, maar dat het zich sindsdien ook heeft uitgebreid naar ASUS-routers met geopende TCP-poorten 63256 en 63260.
Uit de laatste bevindingen blijkt dat het botnet uit drie extra clusters bestaat:
- xlogin (ook bekend als 7777 botnet) – Een botnet dat bestaat uit gecompromitteerde TP-Link routers die beide TCP-poorten 7777 en 11288 geopend hebben
- alogin (ook bekend als 63256 botnet) – Een botnet dat bestaat uit gecompromitteerde ASUS-routers waarvan zowel TCP-poorten 63256 als 63260 zijn geopend
- rlogin – Een botnet bestaande uit gecompromitteerde Ruckus Wireless-apparaten waarvan TCP-poort 63210 is geopend
- axlogin – Een botnet dat Axentra NAS-apparaten kan targeten (nog niet in het wild gedetecteerd)
- zylogin – Een botnet dat bestaat uit gecompromitteerde Zyxel VPN-apparaten waarvan TCP-poort 3256 is geopend
Sekoia vertelde The Hacker News dat de landen met de meeste infecties Bulgarije (1.093), de VS (733) en Oekraïne (697) zijn.
In een verder teken van tactische evolutie maken de kwaadwillende actoren nu gebruik van een nieuwe backdoor met de naam UPDTAE. Deze backdoor creëert een HTTP-gebaseerde reverse shell om op afstand controle uit te oefenen op de geïnfecteerde apparaten en opdrachten uit te voeren die worden verzonden vanaf een command-and-control (C2)-server.
Het is nog niet duidelijk wat het exacte doel van het botnet is of wie erachter zit, maar het bedrijf zegt dat de activiteit waarschijnlijk het werk is van een door de Chinese staat gesponsorde cybercrimineel.
“Wat betreft de 7777 (botnet), zagen we alleen brute-force-pogingen tegen Microsoft 365-accounts,” vertelde Aimé aan de publicatie. “Wat de andere botnets betreft, weten we nog steeds niet hoe ze worden gebruikt.”
“Na overleg met andere onderzoekers en nieuwe bevindingen zijn we er echter vrijwel zeker van dat de exploitanten waarschijnlijk door de Chinese overheid worden gesponsord en niet zomaar cybercriminelen zijn die (zakelijke e-mailcompromissen) plegen.”
“We zien dat de dreigingsactor probeert om heimelijker te zijn door nieuwe malware te gebruiken op de gecompromitteerde edge-apparaten. Het hoofddoel achter die zet is om het volgen van de aangesloten botnets te voorkomen.”