Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Quad7 Botnet tiến hoá, hướng mục tiêu tới các thiết bị VPN và router

Updated
5 min read
Quad7 Botnet tiến hoá, hướng mục tiêu tới các thiết bị VPN và router
M
Mai Đức Nam Anh
Part of seriesNewsletters

Trong một bài viết gần đây trên diễn đàn của Sekoia - một công ty an ninh mạng lớn của Pháp, đã đề cập tới Quad7 Botnet đang tích cực được phát triển, mở rộng mục tiêu tấn công vào các thiết bị router, các thiết bị VPN thông qua khai thác kết hợp các lỗ hổng chưa biết và đã biết.

Cụ thể, một số loại router SOHO cùng các thiết bị VPN của các thương hiệu như TP-LINK, Zyxel, Asus, D-Link và Netgear được coi là đã và đang bị botnet cố gắng khai thác.

Quad7 botnet là gì?

Quad7 botnet, hay còn được gọi là 7777 botnet hoặc xlogin botnet, lần đầu được biết tới công khai sau thông báo bảo mật của nhà nghiên cứu bảo mật Gi7w0rm vào tháng 10 năm 2023. Botnet tập trung vào việc khai thác các thiết bị như router SOHO (Small Office/Home Office) và các thiết bị VPN nhằm xây dựng mạng lưới các máy tính bị chiếm quyền kiểm soát riêng.

Với đặc điểm mở kết nối TCP trên cổng 7777, đồng thời trả về thông báo "xlogin" trên các thiết bị bị nhiễm, việc giám sát và phát hiện các cuộc tấn công từ botnet này có xu hướng trở lên khó khăn hơn bởi các đợt tấn công được ghi nhận cho tới hiện tại đều là các cuộc tấn công với quy mô nhỏ, mục tiêu của chúng là brute-force các tài khoản nhân viên cấp thấp (Cấp C) với số lượng khoảng 2-3 yêu cầu mỗi tuần, khó có thể định danh chính xác cuộc tấn công. Ngoài ra, sự duy trì và phát triển không ngừng mà các tin tặc dành cho botnet này cũng gia tăng thêm những khó khăn trên.

Những phát hiện mới

Cũng trong bài viết trên diễn đàn của Sekoia, những nghiên cứu gần nhất đã cung cấp thêm thông tin về các biến thể mới của botnet này, cụ thể:

  • xlogin (hay 7777 botnet) - Botnet bao gồm các thiết bị router của TP-Link bị chiếm quyền kiểm soát, mở hai cổng TCP 7777 và 11288.
  • alogin (hay 63256 botnet) - Botnet bao gồm các thiết bị router ASUS bị chiếm quyền kiểm soát, mở hai cổng TCP 63256 và 63260.
  • rlogin - Botnet bao gồm các thiết bị Ruckus Wireless bị chiếm quyền kiểm soát có mở cổng TCP 63210.
  • axlogin - Botnet nhắm mục tiêu các thiết bị NAS Axentra (chưa được phát hiện trong thực tế)
  • zylogin - Botnet bao gồm các thiết bị Zyxel VPN bị chiếm quyền kiểm soát mở cổng TCP 3256.

Những bước tiến hoá mới

Bên cạnh các biến thể mới của botnet được phát hiện, bài viết trên Sekoia cũng cung cấp thêm thông tin về ba loại backdoor mới có tên UPDTAE backdoor do lỗi chính tả. Những backdoor này hoạt động như các reverse shell dựa trên HTTP, được thử nghiệm trên các router ASUS và thiết bị NAS Axentra, liên kết tĩnh với thư viện libcurl và thực hiện các tín hiệu thông qua yêu cầu HTTP mỗi 30 giây với User-Agent có giá trị là "IOT". Tuy nhiên backdoor này được đánh giá vẫn đang trong quá trình phát triển do kết nối giao tiếp giữa backdoor tới máy chủ C2 (Command & Control) được truyền thông qua các request POST JSON và kiểm soát điều khiển thông qua các trang web được xây dựng khá đơn giản.

Sự phát triển mới này cho thấy các tin tặc đứng sau Quad7 botnet đang cố gắng che giấu sự tồn tại của bản thân, đồng thời muốn tránh việc sử dụng các GUI đăng nhập trên các router bị xâm nhập. Đây được coi là là bước đi tinh vi bởi nó gia tăng những khó khăn trong việc theo dõi, phát hiện và ngăn chặn các cuộc tấn công tới từ mạng botnet này.

Kết luận

Trong bối cảnh các kỹ thuật tấn công cùng với sự phức tạp của nó tỉ lệ thuận với sự phát triển không ngừng của công nghệ thông tin trong thời đại số, sự tiến hoá trong chiến thuật tấn công tới từ các nhóm/tổ chức tin tặc đề ra những yêu cầu cảnh giác cao đối với các chuyên gia an ninh mạng, đưa ra những tiêu chí khắt khe hơn trong chiến lược phòng thủ trước các cuộc tấn công với mức độ ngày càng tinh vi.

Sự tiến hóa trong chiến thuật của các nhà vận hành botnet Quad7 nhấn mạnh tầm quan trọng của việc liên tục theo dõi và cập nhật các biện pháp phòng thủ mạng. Việc chuyển hướng sang các công cụ reverse shell dựa trên HTTP và sử dụng các giao thức liên lạc bảo mật cho thấy không chỉ những tin tặc đứng sau Quad7 botnet nói riêng, mà còn tác nhân đe dọa khác nói chung đang không ngừng cải tiến, khiến việc phát hiện chúng ngày càng trở nên khó khăn hơn.

Đối với các chuyên gia an ninh mạng, việc giữ vững cảnh giác và không ngừng phát triển các phương pháp phát hiện mới là yếu tố then chốt trong cuộc chiến chống lại những mối đe dọa đang ngày càng phức tạp này. Sự hợp tác và chia sẻ thông tin giữa các nhà nghiên cứu và tổ chức an ninh mạng sẽ đóng vai trò quan trọng trong việc ngăn chặn các cuộc tấn công tương lai của Quad7 cũng như các botnet tương tự.

Tham khảo

  1. Blog Sekoia: https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/#h-introduction
  2. The Hacker News: https://thehackernews.com/2024/09/quad7-botnet-expands-to-target-soho.html
  3. Cyber Security News: https://cybersecuritynews.com/quad7-botnet-compromises-routers-vpns/
#quad7-botnet#7777-botnet#fiscybersec#threat-intelligence

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.