Cybersicherheitsexperten von Sekoia haben eine besorgniserregende Entwicklung des Quad7 Botnets festgestellt. Ursprünglich auf TP-Link und ASUS Router beschränkt, hat das Botnet sein Zielspektrum deutlich erweitert. Nun sind auch VPN-Geräte von Zyxel, Ruckus Wireless Router und Axentra Medienserver im Visier der Angreifer.
Evolutionäre Anpassung des Quad7 Botnets
Das nach seinem bevorzugten Angriffsport 7777 benannte Quad7 Botnet zeigt eine rasante Weiterentwicklung. Die Forscher beobachten den Aufbau neuer Server-Infrastrukturen, die Bildung zusätzlicher Cluster sowie den Einsatz fortschrittlicher Backdoors und Reverse Shells. Besonders auffällig ist der Wechsel von SOCKS-Proxies zu versteckteren Kommunikationsmethoden, was die Erkennung erschwert.
Komplexe Struktur und vielfältige Angriffsziele
Die Architektur des Quad7 Botnets basiert auf verschiedenen Clustern, die jeweils auf spezifische Gerätetypen abzielen. Bei der Verbindung über Telnet zeigen diese Cluster unterschiedliche Begrüßungsbanner. So verwendet der auf Ruckus Wireless-Geräte spezialisierte Cluster beispielsweise den Banner „rlogin“.
Die Größe der Cluster variiert erheblich: Während einige wie „xlogin“ und „alogin“ tausende kompromittierter Geräte umfassen, zählen andere wie „rlogin“ (seit Juni 2024 aktiv) nur 298 infizierte Systeme. Der „zylogin“-Cluster ist mit nur zwei Geräten äußerst klein, während „axlogin“ derzeit keine aktiven Infektionen aufweist.
Fortschrittliche Tarnungs- und Kommunikationstechniken
Die Betreiber von Quad7 haben ihre Angriffs- und Kommunikationsmethoden signifikant verfeinert. Der Fokus liegt nun verstärkt auf Erkennungsvermeidung und Effizienzsteigerung. Besonders auffällig ist der nahezu vollständige Verzicht auf offene SOCKS-Proxies, die zuvor für den Transfer von Malware-Traffic, etwa bei Brute-Force-Angriffen, genutzt wurden.
Stattdessen setzen die Angreifer nun auf das KCP-Protokoll und das neue Tool FsyNet, das über UDP kommuniziert. Diese Umstellung erschwert die Erkennung und Nachverfolgung der Bedrohung erheblich. Zusätzlich kommt ein neuer Backdoor namens UPDTAE zum Einsatz, der HTTP-Reverse-Shells für die Fernsteuerung infizierter Geräte etabliert.
Innovative Stealth-Techniken
UPDTAE ermöglicht den Angreifern die Kontrolle über kompromittierte Geräte, ohne Login-Schnittstellen offenzulegen oder Ports zu öffnen, die leicht durch Internet-Scanner entdeckt werden könnten. In jüngster Zeit experimentieren die Cyberkriminellen zudem mit einer neuen Binärdatei namens „netd“, die das CJD route2-Protokoll für noch verdecktere Kommunikation nutzt.
Die Evolution des Quad7 Botnets unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit und Anpassung von Sicherheitsmaßnahmen. Netzwerkadministratoren und Sicherheitsverantwortliche sollten ihre Systeme regelmäßig auf Schwachstellen überprüfen, Firmware-Updates zeitnah einspielen und verdächtige Netzwerkaktivitäten genau überwachen. Nur durch proaktives Handeln lässt sich das Risiko einer Infektion durch hochentwickelte Bedrohungen wie Quad7 minimieren.