Эксперты Microsoft выявили масштабную кампанию китайских хакеров, использующих ботнет Quad7 (также известный как Botnet-7777 и CovertNetwork-1658) для проведения целенаправленных кибератак. Ботнет, состоящий из примерно 8000 скомпрометированных маршрутизаторов, применяется для хищения учетных данных и проведения атак типа password spray.
История обнаружения и технические особенности ботнета
Первоначально ботнет был идентифицирован в октябре 2023 года исследователем безопасности Gi7w0rm, который присвоил ему название Botnet-7777 из-за характерного использования порта 7777. Дальнейшие исследования, проведенные специалистами Sekoia и Team Cymru, показали, что основными целями атак стали устройства производства TP-Link, Asus, Ruckus, Axentra и Zyxel.
Механизмы атаки и компрометации
После успешного взлома устройств злоумышленники внедряют специализированное вредоносное ПО, обеспечивающее удаленный доступ через протокол Telnet. Особую опасность представляет установка SOCKS5 прокси-серверов, которые используются для маскировки вредоносного трафика под легитимный, существенно затрудняя обнаружение атак.
Тактика китайских хакерских групп
По данным Microsoft, ботнет активно эксплуатируется несколькими китайскими хакерскими группировками, включая Storm-0940. Злоумышленники применяют тактику осторожного проникновения, совершая ограниченное количество попыток авторизации для каждой учетной записи. Статистика показывает, что в 80% случаев производится только одна попытка входа в день, что помогает избежать обнаружения системами безопасности.
Последствия успешных атак
После получения доступа к целевым сетям хакеры расширяют свое присутствие, похищая дополнительные учетные данные и устанавливая инструменты удаленного доступа (RAT). Основной целью этих операций является сбор конфиденциальной информации, предположительно в рамках кибершпионажа.
Несмотря на активное изучение угрозы, точный метод первичной компрометации устройств остается неизвестным. Исследователи Sekoia зафиксировали использование уязвимости нулевого дня в OpenWRT, однако это может быть лишь одним из множества векторов атаки. Специалисты по кибербезопасности рекомендуют администраторам сетей усилить мониторинг подозрительной активности и обеспечить своевременное обновление прошивок сетевого оборудования.
