VietNetwork.Vn

Những kẻ điều hành mạng botnet bí ẩn Quad7 đang tích cực phát triển bằng cách xâm nhập vào một số thương hiệu bộ định tuyến SOHO và thiết bị VPN bằng cách tận dụng sự kết hợp của cả các lỗ hổng bảo mật đã biết và chưa biết.

Theo báo cáo mới của công ty an ninh mạng Sekoia của Pháp, các mục tiêu bao gồm các thiết bị từ TP-LINK, Zyxel, Asus, Axentra, D-Link và NETGEAR.


Các nhà nghiên cứu Felix Aimé, Pierre-Antoine D. và Charles M. cho biết: "Những kẻ điều hành mạng botnet Quad7 dường như đang phát triển bộ công cụ của chúng, giới thiệu một cửa hậu mới và khám phá các giao thức mới, với mục đích tăng cường khả năng ẩn núp và trốn tránh khả năng theo dõi của hộp chuyển tiếp hoạt động (ORB) của chúng ".

Quad7, còn được gọi là 7777, lần đầu tiên được nhà nghiên cứu độc lập Gi7w0rm ghi nhận công khai vào tháng 10 năm 2023, nêu bật mô hình hoạt động của cụm tấn công này trong việc lôi kéo các bộ định tuyến TP-Link và đầu ghi hình kỹ thuật số (DVR) Dahua vào mạng botnet.

Botnet này, có tên như vậy là do nó mở cổng TCP 7777 trên các thiết bị bị xâm nhập, đã được phát hiện có hành vi tấn công bằng brute-force vào các phiên bản Microsoft 3665 và Azure.

"Botnet này cũng có vẻ lây nhiễm các hệ thống khác như MVPower, Zyxel NAS và GitLab, mặc dù ở mức rất thấp", Jacob Baines của VulnCheck lưu ý vào đầu tháng 1. "Botnet không chỉ khởi động một dịch vụ trên cổng 7777. Nó còn khởi động một máy chủ SOCKS5 trên cổng 11228".

Các phân tích tiếp theo của Sekoia và Team Cymru trong vài tháng qua đã phát hiện ra rằng botnet không chỉ xâm nhập vào các bộ định tuyến TP-Link ở Bulgaria, Nga, Hoa Kỳ và Ukraine mà còn mở rộng sang các bộ định tuyến ASUS có mở cổng TCP 63256 và 63260.


Những phát hiện mới nhất cho thấy botnet bao gồm ba cụm bổ sung -

• xlogin (hay còn gọi là botnet 7777) - Một botnet bao gồm các bộ định tuyến TP-Link bị xâm nhập có cả hai cổng TCP 7777 và 11288 được mở
• alogin (hay còn gọi là botnet 63256) - Một botnet bao gồm các bộ định tuyến ASUS bị xâm nhập có cả hai cổng TCP 63256 và 63260 được mở
• rlogin - Một mạng botnet bao gồm các thiết bị Ruckus Wireless bị xâm nhập có cổng TCP 63210 được mở
• axlogin - Một botnet có khả năng nhắm mục tiêu vào các thiết bị NAS Axentra (chưa được phát hiện trong thực tế)
• zylogin - Một botnet bao gồm các thiết bị VPN Zyxel bị xâm nhập có cổng TCP 3256 được mở

Sekoia nói với The Hacker News rằng các quốc gia có số ca nhiễm nhiều nhất là Bulgaria (1.093), Hoa Kỳ (733) và Ukraine (697).

Trong một dấu hiệu khác của sự phát triển về mặt chiến thuật, những kẻ đe dọa hiện sử dụng một cửa hậu mới có tên là UPDTAE để thiết lập một shell ngược dựa trên HTTP nhằm thiết lập quyền điều khiển từ xa trên các thiết bị bị nhiễm và thực thi các lệnh được gửi từ máy chủ chỉ huy và kiểm soát (C2).

Hiện vẫn chưa rõ mục đích chính xác của mạng botnet này là gì hoặc ai đứng sau nó, nhưng công ty cho biết hoạt động này có khả năng là do một tác nhân đe dọa được nhà nước Trung Quốc tài trợ thực hiện.

"Về [botnet] 7777, chúng tôi chỉ thấy những nỗ lực tấn công bằng vũ lực đối với các tài khoản Microsoft 365", Aimé nói với ấn phẩm. "Đối với các botnet khác, chúng tôi vẫn chưa biết chúng được sử dụng như thế nào".

"Tuy nhiên, sau khi trao đổi với các nhà nghiên cứu khác và phát hiện mới, chúng tôi gần như chắc chắn rằng những kẻ điều hành có nhiều khả năng được nhà nước Trung Quốc tài trợ hơn là chỉ là tội phạm mạng thực hiện [xâm phạm email doanh nghiệp]."

"Chúng tôi thấy kẻ tấn công đang cố gắng trở nên bí mật hơn bằng cách sử dụng phần mềm độc hại mới trên các thiết bị biên bị xâm nhập. Mục đích chính đằng sau động thái đó là ngăn chặn việc theo dõi các mạng botnet liên kết."