Експерти з кібербезпеки компанії Sekoia виявили тривожну тенденцію – відомий ботнет Quad7 значно розширює свою діяльність та вдосконалює методи атак. Раніше націлений переважно на маршрутизатори TP-Link та ASUS, тепер Quad7 атакує ширший спектр пристроїв, використовуючи нове спеціалізоване шкідливе програмне забезпечення.
Нові цілі Quad7
Аналітики Sekoia повідомляють, що до списку цілей Quad7 тепер входять:
- VPN-пристрої Zyxel
- Бездротові маршрутизатори Ruckus
- Медіасервери Axentra
Ця диверсифікація цілей свідчить про зростаючу загрозу та адаптивність ботнету, що викликає серйозне занепокоєння у фахівців з кібербезпеки.
Еволюція інфраструктури та методів атак
Дослідники відзначають стрімкий розвиток Quad7, який включає:
- Розгортання нових серверів та кластерів
- Впровадження нових бекдорів та реверс-шелів
- Відмову від використання SOCKS-проксі на користь більш прихованих методів комунікації
Ці зміни свідчать про прагнення операторів ботнету підвищити ефективність атак та ускладнити виявлення зловмисної активності.
Структура та масштаби ботнету
Quad7 складається з кількох кластерів, кожен з яких націлений на певні типи пристроїв. Деякі кластери, такі як xlogin та alogin, включають тисячі скомпрометованих пристроїв. Інші, наприклад rlogin, що існує з червня 2024 року, налічують лише 298 заражених пристроїв. Кластер zylogin взагалі містить лише два пристрої, а axlogin наразі не має жодного активного зараження.
Нові технології та інструменти Quad7
Експерти Sekoia виявили значні зміни в методах атак та комунікацій Quad7:
- Відмова від відкритих SOCKS-проксі на користь протоколу KCP та нового інструменту FsyNet, що використовує UDP для обміну даними
- Впровадження нового бекдору UPDTAE, який встановлює HTTP реверс-шели для віддаленого керування зараженими пристроями
- Експерименти з новим бінарним файлом netd, що використовує протокол CJD route2 для ще більш прихованих комунікацій
Ці інновації значно ускладнюють виявлення та відстеження активності ботнету, що становить серйозну загрозу для кібербезпеки.
Хоча конкретні цілі операторів Quad7 залишаються невідомими, експерти припускають, що ботнет створюється для проведення масштабних брутфорс-атак на VPN, Telnet, SSH та облікові записи Microsoft 365. Ця ситуація вимагає підвищеної пильності від адміністраторів мереж та користувачів, а також постійного оновлення систем захисту для протидії цій зростаючій загрозі.