法國網路安全公司Sekoia最新報告指出, Quad7(又稱7777)殭屍網路利用已知和未知的安全漏洞入侵多個品牌的家用/小型辦公室(SOHO)路由器和VPN設備,並積極發展中。
受影響的設備品牌包括TP-LINK、Zyxel、華碩(Asus)、Axentra、D-Link和NETGEAR。
Sekoia研究員表示,Quad7殭屍網路操作者似乎正在改進其工具集,引入新的後門並研究新協議,目的是增強隱蔽性並逃避其操作中繼設備(ORBs)的追蹤。
Quad7(又稱7777)最初於2023年10月由獨立研究員Gi7w0rm公開報導,Quad7將TP-Link路由器和大華(Dahua)數位視頻錄像機(DVRs)納入殭屍網路的模式。該殭屍網路之所以得名Quad7,是因為它會在被入侵的設備上開啟TCP 7777埠。
研究發現,Quad7殭屍網路由多個集群組成:
- xlogin(又稱7777殭屍網路):由被入侵的TP-Link路由器組成
- alogin(又稱63256殭屍網路):由被入侵的華碩路由器組成
- rlogin:由被入侵的Ruckus Wireless設備組成
- axlogin:能夠針對Axentra NAS設備(尚未在野外檢測到)
- zylogin:由被入侵的Zyxel VPN設備組成
外媒報導,感染設備數量最多的國家是保加利亞(1,093台)、美國(733台)和烏克蘭(697台)。
威脅行為者現在使用一個名為UPDTAE的新後門,建立基於HTTP的反向shell,在受感染設備上建立遠端控制並執行來自C2伺服器的命令,顯示其戰術正在演進。
目前尚不清楚這個殭屍網路的確切目的或幕後黑手,但Sekoia表示,這項活動可能是中國國家支持的威脅行為者所為。研究人員目前只看到針對Microsoft 365帳戶的暴力破解嘗試。對於其他殭屍網路,尚不清楚主要目的。但研究人員認為這不是單純進行商業電子郵件詐騙的網路罪犯。威脅行為者試圖透過在被入侵的邊緣設備上使用新惡意軟體來增加隱蔽性。這一舉動的主要目的是防止相關殭屍網路被追蹤。
鑑於Quad7殭屍網路的持續演進和擴張,企業和個人用戶都應提高警惕,確保路由器和VPN設備的韌體保持最新,並採取強大的安全措施,如更改預設密碼和禁用不必要的遠端管理功能。
本文轉載自thehackernews。