Το Quad7 botnet στοχεύει περισσότερους VPN routers, media servers

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

Το Quad7 botnet στοχεύει περισσότερους VPN routers, media servers
https://www.secnews.gr/617684/quad7-botnet-stoxeuei-perissoterous-vpn-routers-media-servers/
Sep 10th 2024, 10:55

Το botnet Quad7 στοχεύει τώρα περισσότερες συσκευές SOHO (Small office/home office), με ένα νέο custom malware για συσκευές Zyxel VPN, Ruckus wireless routers και Axentra media servers.






Προηγουμένως, η Sekoia είχε παρατηρήσει ότι το botnet στόχευε TP-Link routers και ο ερευνητής Gi7w0rm ονόμασε το malware Quad7, λόγω της στόχευσης της θύρας 7777. Στο στόχαστρο έχουν βρεθεί και ASUS routers.



Η Sekoia συνέταξε, τώρα, μια νέα αναφορά που προειδοποιεί για την εξέλιξη του Quad7 botnet. Οι ερευνητές παρατήρησαν τη δημιουργία νέων staging servers, νέα botnet clusters, χρήση νέων backdoors και reverse shells και απομάκρυνση από SOCKS proxies.



Δείτε επίσης: Το νέο Zergeca botnet πραγματοποιεί DDoS επιθέσεις



Αν και δεν είναι ξεκάθαροι οι βασικοί στόχοι των χειριστών του Quad7 botnet, κάποιοι πιστεύουν ότι οι hackers ενδιαφέρονται για distributed brute-force επιθέσεις σε λογαριασμούς VPN, Telnet, SSH και Microsoft 365.



Στόχευση Zyxel VPN και Ruckus routers



Το botnet Quad7 περιλαμβάνει πολλά υποσυστήματα, με καθένα από αυτά να στοχεύει συγκεκριμένες συσκευές και να εμφανίζει ένα διαφορετικό welcome banner κατά τη σύνδεση στη θύρα Telnet.



Για παράδειγμα, το Telnet welcome banner στις ασύρματες συσκευές Ruckus είναι «rlogin».



Η πλήρης λίστα των κακόβουλων clusters και των welcome banners τους είναι η εξής:




xlogin – Telnet συνδεδεμένο στη θύρα TCP 7777 σε TP-Link routers



alogin – Telnet συνδεδεμένο στη θύρα TCP 63256 σε ASUS routers



rlogin – Telnet συνδεδεμένο στη θύρα TCP 63210 σε ασύρματες συσκευές Ruckus



axlogin –Telnet banner σε συσκευές Axentra NAS



zylogin – Telnet συνδεδεμένο στη θύρα TCP 3256 σε συσκευές Zyxel VPN




Ορισμένα από αυτά, όπως το 'xlogin' και το 'alogin', θέτουν σε κίνδυνο χιλιάδες συσκευές.



Τα τελευταία ευρήματα της Sekoia δείχνουν ότι το botnet Quad7 έχει εξελιχθεί σημαντικά στις μεθόδους και τις τακτικές επικοινωνίας του, εστιάζοντας στην αποφυγή εντοπισμού και στη μεγαλύτερη αποτελεσματικότητα.



Δείτε επίσης: Η OVHcloud κατηγορεί την επίθεση DDoS στο botnet MikroTik



Οι open SOCKS proxies, στους οποίους βασιζόταν το botnet σε μεγάλο βαθμό σε προηγούμενες εκδόσεις, καταργούνται σταδιακά. Τώρα, οι χειριστές του Quad7 χρησιμοποιούν το πρωτόκολλο επικοινωνίας KCP για επιθέσεις, μέσω του εργαλείου «FsyNet», που επικοινωνεί μέσω UDP. Η ανίχνευση και η παρακολούθηση της δραστηριότητας του botnet γίνεται έτσι πολύ πιο δύσκολη.



Οι ερευνητές παρατήρησαν και τη χρήση ενός backdoor με το όνομα «UPDTAE» που δημιουργεί HTTP reverse shells για απομακρυσμένο έλεγχο στις μολυσμένες συσκευές.



Δοκιμάζεται, επίσης, ένα νέο 'netd' binary που χρησιμοποιεί το πρωτόκολλο τύπου darknet, CJD route2, επομένως είναι πιθανό να δημιουργηθεί ένας ακόμα πιο κρυφός μηχανισμός επικοινωνίας.






Προστασία από malware botnet



Για να προστατευτείτε από το Quad7 και άλλα Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις bοtnet συχνά εκμεταλλεύονται γνωστές ευπάθειες.



Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.



Δείτε επίσης: Botnet εκμεταλλεύεται ευπάθεια σε Zyxel NAS συσκευές



Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet (π.χ. Quad7). Οι επιθέσεις bοtnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.



Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.



Πηγή: www.bleepingcomputer.com



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια