La botnet Quad7 se expande para atacar routers SOHO y dispositivos VPN

XPoint
Publicado el 11/09/2024

Los operadores de la enigmática botnet Quad7 están evolucionando activamente al comprometer routers SOHO y dispositivos VPN de varias marcas, aprovechando una combinación de vulnerabilidades conocidas y desconocidas.

Según un nuevo informe de la empresa de ciberseguridad francesa Sekoia, los dispositivos afectados incluyen equipos de TP-LINK, Zyxel, Asus, Axentra, D-Link y NETGEAR.

“Los operadores de la botnet Quad7 parecen estar mejorando su conjunto de herramientas, introduciendo un nuevo backdoor y explorando nuevos protocolos, con el objetivo de aumentar el sigilo y evadir las capacidades de seguimiento de sus cajas de retransmisión operativas (ORBs)”, afirmaron los investigadores Felix Aimé, Pierre-Antoine D. y Charles M.

Quad7, también conocida como 7777, fue documentada por primera vez en octubre de 2023 por el investigador independiente Gi7w0rm, quien destacó cómo esta botnet infectaba routers TP-Link y grabadoras de video digital (DVR) Dahua para integrarlos en su red.

 

Ciberseguridad

La botnet recibe su nombre debido a que abre el puerto TCP 7777 en los dispositivos comprometidos. Se ha observado que utiliza ataques de fuerza bruta contra instancias de Microsoft 365 y Azure.

“Además de routers TP-Link, también parece infectar otros sistemas como dispositivos MVPower, Zyxel NAS y servidores GitLab, aunque en volúmenes muy bajos”, señaló Jacob Baines, de VulnCheck, en enero de este año. “La botnet no solo inicia un servicio en el puerto 7777, sino que también habilita un servidor SOCKS5 en el puerto 11228”.

Análisis posteriores realizados por Sekoia y Team Cymru han revelado que la botnet no solo ha comprometido routers TP-Link en Bulgaria, Rusia, EE.UU. y Ucrania, sino que también ha ampliado sus objetivos a routers ASUS con los puertos TCP 63256 y 63260 abiertos.

 

Quad7 Botnet

 

Los hallazgos más recientes muestran que la botnet se compone de tres clusters adicionales:

  • xlogin (también conocida como botnet 7777): Botnet que compromete routers TP-Link con los puertos TCP 7777 y 11288 abiertos.
  • alogin (también conocida como botnet 63256): Botnet que compromete routers ASUS con los puertos TCP 63256 y 63260 abiertos.
  • rlogin: Botnet que compromete dispositivos Ruckus Wireless con el puerto TCP 63210 abierto.
  • axlogin: Botnet que tiene como objetivo dispositivos NAS de Axentra (aún no detectada en el entorno salvaje).
  • zylogin: Botnet que compromete dispositivos VPN de Zyxel con el puerto TCP 3256 abierto.

Sekoia informó a  que los países con más infecciones son Bulgaria (1,093), EE.UU. (733) y Ucrania (697).

Ciberseguridad

En un nuevo signo de evolución táctica, los actores de amenaza ahora utilizan un nuevo backdoor llamado UPDTAE, que establece un shell inverso basado en HTTP para controlar de manera remota los dispositivos infectados y ejecutar comandos enviados desde un servidor de comando y control (C2).

Todavía no está claro cuál es el propósito exacto de la botnet o quién está detrás de ella, pero Sekoia sugiere que podría tratarse de un actor de amenaza patrocinado por el estado chino.

“En relación con la botnet 7777, solo hemos visto intentos de fuerza bruta contra cuentas de Microsoft 365”, comentó Aimé. “Para las otras botnets, aún no sabemos cómo están siendo utilizadas”.

“Sin embargo, tras intercambios con otros investigadores y nuevos descubrimientos, estamos casi seguros de que los operadores están más ligados al estado chino que a simples cibercriminales dedicados al compromiso de correos electrónicos empresariales (BEC)”.

“Estamos observando que el actor de amenaza intenta ser más sigiloso utilizando nuevos malware en los dispositivos comprometidos en el borde de la red. El objetivo principal detrás de este movimiento es evitar el rastreo de las botnets afiliadas.”

 


 

English Version

Quad7 Botnet Expands to Target SOHO Routers and VPN Appliances

The operators of the mysterious Quad7 botnet are actively evolving by compromising SOHO routers and VPN appliances from various brands, exploiting a mix of both known and unknown vulnerabilities.

According to a new report from the French cybersecurity firm Sekoia, affected devices include those from TP-LINK, Zyxel, Asus, Axentra, D-Link, and NETGEAR.

“The Quad7 botnet operators seem to be enhancing their toolkit, introducing a new backdoor and exploring new protocols to increase stealth and evade the tracking capabilities of their operational relay boxes (ORBs),” stated researchers Felix Aimé, Pierre-Antoine D., and Charles M.

Quad7, also known as 7777, was first documented in October 2023 by independent researcher Gi7w0rm, who highlighted how the botnet was compromising TP-Link routers and Dahua digital video recorders (DVRs) to incorporate them into its network.

 

Cybersecurity

The botnet gets its name from the fact that it opens TCP port 7777 on compromised devices. It has been observed brute-forcing Microsoft 365 and Azure instances.

“In addition to TP-Link routers, the botnet also appears to infect other systems like MVPower devices, Zyxel NAS, and GitLab servers, although in very low volumes,” VulnCheck’s Jacob Baines noted earlier this January. “The botnet doesn’t just start a service on port 7777, it also spins up a SOCKS5 server on port 11228.”

Further analyses by Sekoia and Team Cymru over the past few months have revealed that the botnet has not only compromised TP-Link routers in Bulgaria, Russia, the U.S., and Ukraine, but has also expanded to target ASUS routers with TCP ports 63256 and 63260 open.

 

Quad7 Botnet

 

The latest findings show that the botnet is comprised of three additional clusters:

  • xlogin (also known as the 7777 botnet): A botnet composed of compromised TP-Link routers with both TCP ports 7777 and 11288 open.
  • alogin (also known as the 63256 botnet): A botnet composed of compromised ASUS routers with both TCP ports 63256 and 63260 open.
  • rlogin: A botnet composed of compromised Ruckus Wireless devices with TCP port 63210 open.
  • axlogin: A botnet capable of targeting Axentra NAS devices (not yet detected in the wild).
  • zylogin: A botnet composed of compromised Zyxel VPN appliances with TCP port 3256 open.

Sekoia told that the countries with the most infections are Bulgaria (1,093), the U.S. (733), and Ukraine (697).

 

Cybersecurity

In a further sign of tactical evolution, the threat actors are now using a new backdoor called UPDTAE, which establishes an HTTP-based reverse shell to remotely control infected devices and execute commands from a command-and-control (C2) server.

It remains unclear what the botnet’s exact purpose is or who is behind it, but Sekoia suggested that the activity is likely the work of a Chinese state-sponsored threat actor.

“Regarding the 7777 botnet, we have only seen brute-force attempts against Microsoft 365 accounts,” Aimé told the publication. “For the other botnets, we still don’t know how they are being used.”

“However, after discussions with other researchers and new findings, we are almost certain that the operators are more likely Chinese state-sponsored actors rather than simple cybercriminals engaged in business email compromise (BEC).”

“We are seeing the threat actors trying to be more stealthy by using new malware on compromised edge devices. The main goal behind this move is to prevent the tracking of affiliated botnets.”

Preguntas frecuentes

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos