Die Betreiber des mysteriösen Quad7-Botnetzes entwickeln sich aktiv weiter, indem sie mehrere Marken von SOHO-Routern und VPN-Appliances kompromittieren, indem sie eine Kombination aus bekannten und unbekannten Sicherheitslücken ausnutzen.
Zu den Zielen gehören Geräte von TP-LINK, Zyxel, Asus, Axentra, D-Link und NETGEAR, so ein neuer Bericht des französischen Cybersicherheitsunternehmens Sekoia.
„Die Betreiber des Quad7-Botnetzes scheinen ihre Tools weiterzuentwickeln, indem sie eine neue Backdoor einführen und neue Protokolle erforschen, mit dem Ziel, die Tarnung zu verbessern und den Tracking-Funktionen ihrer Operational Relay Boxes (ORBs) zu entgehen“, so die Forscher Felix Aimé, Pierre-Antoine D. und Charles M.
Quad7, auch 7777 genannt, wurde erstmals im Oktober 2023 vom unabhängigen Forscher Gi7w0rm öffentlich dokumentiert, der das Muster des Aktivitätsclusters hervorhob, TP-Link-Router und Dahua-Digitalvideorekorder (DVRs) in ein Botnetz einzubinden.
Das Botnetz, das seinen Namen von der Tatsache hat, dass es den TCP-Port 7777 auf kompromittierten Geräten öffnet, wurde dabei beobachtet, wie es Brute-Force-Angriffe auf Microsoft 3665- und Azure-Instanzen durchführte.
„Das Botnetz scheint auch andere Systeme wie MVPower, Zyxel NAS und GitLab zu infizieren, wenn auch in sehr geringem Umfang“, bemerkte Jacob Baines von VulnCheck Anfang Januar. „Das Botnetz startet nicht nur einen Dienst auf Port 7777. Es startet auch einen SOCKS5-Server auf Port 11228.“
Nachfolgende Analysen von Sekoia und Team Cymru in den letzten Monaten haben ergeben, dass das Botnetz nicht nur TP-Link-Router in Bulgarien, Russland, den USA und der Ukraine kompromittiert hat, sondern seitdem auch ASUS-Router ins Visier genommen hat, bei denen die TCP-Ports 63256 und 63260 geöffnet sind.
Die neuesten Erkenntnisse zeigen, dass das Botnetz aus drei zusätzlichen Clustern besteht –
xlogin (auch bekannt als 7777 Botnetz) – Ein Botnetz aus kompromittierten TP-Link-Routern, bei denen sowohl die TCP-Ports 7777 als auch 11288 geöffnet sind
alogin (auch bekannt als 63256 Botnetz) – Ein Botnetz aus kompromittierten ASUS-Routern, bei denen sowohl die TCP-Ports 63256 als auch 63260 geöffnet sind
rlogin – Ein Botnetz aus kompromittierten Ruckus Wireless-Geräten, bei denen der TCP-Port 63210 geöffnet ist
axlogin – Ein Botnetz, das in der Lage ist, Axentra NAS-Geräte anzugreifen (bisher nicht in freier Wildbahn entdeckt)
zylogin – Ein Botnetz aus kompromittierten Zyxel VPN-Appliances, bei denen der TCP-Port 3256 geöffnet ist
Sekoia teilte The Hacker News mit, dass die Länder mit den meisten Infektionen Bulgarien (1.093), die USA (733) und die Ukraine (697) sind.
Als weiteres Zeichen der taktischen Weiterentwicklung nutzen die Bedrohungsakteure nun eine neue Backdoor namens UPDTAE, die eine HTTP-basierte Reverse Shell einrichtet, um die Fernsteuerung der infizierten Geräte zu übernehmen und Befehle auszuführen, die von einem Command-and-Control (C2)-Server gesendet werden.
Derzeit ist nicht klar, was der genaue Zweck des Botnetzes ist oder wer dahinter steckt, aber das Unternehmen sagte, dass die Aktivität wahrscheinlich die Arbeit eines staatlich geförderten chinesischen Bedrohungsakteurs ist.
„In Bezug auf das 7777 [Botnetz] haben wir nur Brute-Force-Versuche gegen Microsoft 365-Konten gesehen“, sagte Aimé der Publikation. „Wofür die anderen Botnetze verwendet werden, wissen wir noch nicht.“
„Nach Gesprächen mit anderen Forschern und neuen Erkenntnissen sind wir uns jedoch fast sicher, dass es sich bei den Betreibern eher um staatlich geförderte Akteure aus China handelt als um einfache Cyberkriminelle, die [Business E-Mail Compromise] betreiben.“
„Wir sehen, dass der Bedrohungsakteur versucht, durch den Einsatz neuer Malware auf den kompromittierten Edge-Geräten getarnter vorzugehen. Das Hauptziel hinter diesem Schritt ist es, die Verfolgung der zugehörigen Botnetze zu verhindern.“