Opozorilo: Novi napadi botnetov na usmerjevalnike ASUS, odpirajo vrata 63256

V oktobru 2023 je bilo odkrito razširjeno kibernetsko grožnjo, imenovano Botnet 7777. Ta botnet vključuje približno 10.000 kompromitiranih usmerjevalnikov z odprtim TCP portom 7777, ki ga identificira banner “xlogin:”. Ti kompromitirani usmerjevalniki izvajajo nizko-volumske vztrajne napade s silo na Microsoft Azure in se učinkovito izogibajo zaznavi.

Sprva je bilo sumljeno, da botnet cilja na VIP uporabnike. Vendar so nedavne raziskave pokazale, da botnet deluje nediskriminatorno, kar pomeni, da cilja na širok spekter naprav, kar bistveno poveča njegovo nevarnost. Kljub intenzivnim raziskavam operater botneta še vedno ostaja neznan in ni konkretnih dokazov, ki bi ga povezovali s specifičnimi kibernetskimi kriminalci ali državno sponzoriranimi akterji.

Analize so pokazale, da je grožnja Quad7 razširila svoje operacije botneta tako, da vključuje drugo varianto bota, ki uporablja port 63256, predvsem ciljajoč Asus usmerjevalnike. V zadnjih 30 dneh je bilo evidentiranih kar 12.783 aktivnih botov v obeh različicah porta, kar prikazuje obsežnost in nevarnost tega botneta.

Identificiranih je bilo sedem unikatnih IP-jev za upravljanje botneta, pri čemer so se štirje ujemali s prejšnjimi raziskavami Sekoia, trije pa ostajajo brez atribucije, kar nakazuje na potencialno evolucijo grožnje Quad7. To otežuje preglednost in identifikacijo virov napada, kar je razlog za zaskrbljenost.

Quad7 Boti

V zadnjih 30 dneh je bilo s skeniranjem za odprt port 7777, ki prikazuje banner xlogin:, okuženih kar 7.038 naprav z botnetom Quad7. Takšna skeniranja podatkov sicer nudijo nepopolno sliko obsega botneta, vendar kljub temu kažejo na znatno število kompromitiranih botov, ki se uporabljajo za nizko-volumske napade s silo.

Prevlada kompromitiranih TP-Link usmerjevalnikov je skladna s prejšnjimi raziskavami, kar pomaga pri razumevanju širjenja botneta ter omogoča proaktivne obrambne strategije za zaščito ranljive infrastrukture. Identifikacija specifičnih modelov usmerjevalnikov omogoča bolj ciljno ukrepanje in zaščito pred nadaljnjimi napadi.

Primer Tag-a Usmerjevalnika

Raziskave so tudi pokazale, da gostitelji botneta Quad7 pogosto izpostavljajo SOCKS5 proxy storitev na portu 11288. Ta proxy izkorišča odprtokodni proxy, razvit s strani uporabnika GitHub-a, kar omogoča grožnjam akterjem napade s silo proti Microsoft 365 računom.

Dejavnost gostiteljev z odprtim portom 11288 in skupni banner potrjujejo povezavo z botnetom Quad7. Podatki o odprtih portih so razkrili nov botnet, ki deluje na portu 63256 in primarno cilja Asus usmerjevalnike. To kaže na različne tarče med dvema botnetoma, kar dodatno zapleta situacijo.

Informacije o Odprtih Porta

Medtem ko botnet 7777 cilja na TP-LINK usmerjevalnike in IP kamere, botnet 63256 cilja predvsem na ASUS usmerjevalnike. Z več kot 12.000 kompromitiranimi napravami med obema botnetoma, se akter Quad7 zdi vse bolj nevaren.

NetFlow analiza je identificirala sedem IP-jev pri treh ponudnikih, povezane z botnetom Quad7. En IP komunicira izključno z boti na portu 7777 in omogoča oddaljen dostop do lupine grožnjam akterjem. Drugi IP-ji povezujejo boti na portu 11288, verjetno proxyja napadov, kar potrjuje povezavo med botnetoma.

Botnet Quad7 se vztrajno širi, zdaj vključuje tudi botnet 63256, ki primarno cilja ASUS usmerjevalnike. Kljub tekočim ukrepom za blažitev, botnet ostaja aktiven z znatno osnovo kompromitiranih naprav. Raziskava ekipe Team Cymru je identificirala ključne elemente botnet infrastrukture, vključno s sedmimi IP-ji za upravljanje in vzorci njihove komunikacije.

Preberite tudi:

Objava Opozorilo: Novi Botnet Napadi na ASUS Usmerjevalnike, Odprt Port 63256 se je prvič pojavila na

Leave a Reply

Your email address will not be published. Required fields are marked *