Nuove tecniche di attacco e infrastruttura sviluppate dal botnet Quad7
Il botnet Quad7, noto anche come il botnet 7777, continua a evolversi e a sviluppare nuove tecniche di attacco e infrastruttura. Secondo un recente rapporto di Sekoia.io, gli operatori del botnet stanno sviluppando nuovi backdoor e infrastrutture per migliorare la resilienza del botnet e mantenere la capacità di eseguire attacchi di forza bruta. Questo cambiamento segna una svolta significativa rispetto alle tattiche precedenti che si concentravano pesantemente sui router TP-Link e ASUS utilizzando proxy Socks5.
Nuove tecniche di attacco
Il botnet Quad7 originariamente utilizzava proxy Socks5 per trasmettere attacchi contro conti Microsoft 365, utilizzando router compromessi come canali per gli attacchi di password-spraying. Tuttavia, il rapporto indica che gli operatori del botnet stanno diversificando la loro strategia, utilizzando nuovi malware e reverse shells al posto dei proxy Socks5.
Nuovi backdoor e infrastrutture
Una scoperta critica riguarda il “UPDTAE backdoor”, un nuovo implant di reverse shell attualmente in fase di testing da parte degli operatori del botnet Quad7. Questi backdoor, ospitati su server di staging, sono male progettati ma efficaci, inviando richieste beaconing via HTTP ogni 30 secondi. Gli implant UPDTAE sono stati trovati su entrambi i router ASUS e NAS Axentra, con versioni diverse per architettture MIPS e ARM. Questi backdoor permettono agli operatori del botnet di eseguire comandi e aggiornare eventualmente URL di comando e controllo (C2), fornendo loro un maggiore controllo sui dispositivi compromessi.
FsyNet: un progetto più sofisticato
Sekoia.io ha anche scoperto un progetto più sofisticato chiamato “FsyNet”. FsyNet utilizza il protocollo KCP, tipicamente utilizzato per creare connessioni affidabili su reti poco affidabili, e è progettato per stabilire una catena di caselle di relais operazionali (ORBs) compromesse. Questo approccio suggerisce che il Quad7 possa essere in transizione da proxy Socks5 verso un metodo più sicuro e meno facilmente individuabile.
Impatto e raccomandazioni
Il continuo ampliamento del botnet Quad7, in particolare la sua trasformazione verso dispositivi come router ASUS e Ruckus, rappresenta una minaccia crescente per i servizi internet esposti a livello mondiale. ASUS, un produttore leader nel mercato dei router per consumatori e aziende, fornisce un piedistallo significativo per il botnet per essere sfruttato. La capacità del botnet di compromettere tali dispositivi di larga diffusione indica la sua crescente capacità di scalare le operazioni mentre evita la detezione.
Suggerimenti e consigli
- Aggiornamenti firmware regolari: Assicurarsi che tutti i dispositivi, in particolare i router da marchi come ASUS e TP-Link, siano aggiornati a firmware recenti.
- Password forti e uniche: Utilizzare password forti e uniche per le interfacce di amministrazione e disabilitare servizi non utilizzati.
- Accesso remoto limitato: Limitare l’accesso remoto a indirizzi IP fidati o disabilitare l’amministrazione remota del tutto.
- Monitoraggio dell’attività di rete: Monitorare l’attività di rete per comportamenti insoliti, in particolare sui porti comunemente utilizzati dal Quad7 (ad esempio 7777, 63256, 63260).
- Strumenti di rilevamento avanzati: Utilizzare strumenti di rilevamento avanzati come Suricata e regole YARA per identificare le firme uniche del Quad7, inclusi i nuovi implant UPDTAE.
Fonte: https://cybersecuritynews.com/quad7-botnet-compromises-routers-vpns/
