Специалисты по кибербезопасности из компании Sekoia обнаружили значительное расширение деятельности ботнета Quad7. Изначально нацеленный на маршрутизаторы TP-Link и ASUS, теперь он атакует более широкий спектр устройств, включая VPN-оборудование Zyxel, беспроводные маршрутизаторы Ruckus и медиасерверы Axentra. Эта эволюция представляет собой серьезную угрозу для сетевой безопасности организаций и частных пользователей.
Новые цели и методы атак Quad7
Ботнет Quad7, получивший свое название из-за использования порта 7777, демонстрирует быстрое развитие своей инфраструктуры и методов атак. Аналитики отмечают появление новых серверов, кластеров, бэкдоров и реверс-шеллов. Особенно важным изменением является отказ от использования SOCKS-прокси в пользу более скрытных методов работы, что значительно усложняет обнаружение и нейтрализацию угрозы.
Хотя точные цели операторов Quad7 остаются неизвестными, эксперты предполагают, что ботнет создается для проведения масштабных брутфорс-атак на различные сервисы, включая VPN, Telnet, SSH и учетные записи Microsoft 365. Это представляет серьезную опасность для корпоративных сетей и конфиденциальных данных.
Структура и масштабы ботнета
Quad7 состоит из нескольких кластеров, каждый из которых ориентирован на определенные типы устройств. Размеры кластеров варьируются от нескольких тысяч скомпрометированных устройств до единичных заражений. Например:
- Кластеры xlogin и alogin включают тысячи зараженных устройств
- Кластер rlogin, существующий с июня 2024 года, насчитывает 298 устройств
- Кластер zylogin состоит всего из двух устройств
- Кластер axlogin на момент исследования не имел активных заражений
Усовершенствованные техники уклонения от обнаружения
Исследователи Sekoia отмечают значительные изменения в методах атак и коммуникаций Quad7. Ботнет теперь фокусируется на повышении эффективности работы и уклонении от обнаружения. Ключевые изменения включают:
- Отказ от открытых SOCKS-прокси в пользу протокола KCP и нового инструмента FsyNet, использующего UDP для обмена данными
- Внедрение нового бэкдора UPDTAE, устанавливающего HTTP реверс-шеллы для удаленного управления зараженными устройствами
- Эксперименты с бинарником netd, использующим протокол CJD route2 для еще более скрытных коммуникаций
Эти усовершенствования существенно затрудняют обнаружение и отслеживание активности ботнета, что делает Quad7 еще более опасным инструментом в руках киберпреступников. Организациям и пользователям рекомендуется усилить меры безопасности, регулярно обновлять программное обеспечение и использовать надежные средства защиты для минимизации рисков заражения.
Развитие ботнета Quad7 демонстрирует постоянно растущую сложность киберугроз и подчеркивает необходимость комплексного подхода к кибербезопасности. Специалистам по информационной безопасности следует внимательно следить за эволюцией подобных угроз и оперативно адаптировать стратегии защиты для противодействия новым векторам атак.