11 de septiembre de 2024Ravie LakshmananSeguridad de red / Piratería informática Los operadores de la misteriosa botnet Quad7 están evolucionando activamente al comprometer varias marcas de enrutadores SOHO y dispositivos VPN aprovechando una combinación de fallas de seguridad conocidas y desconocidas. Los objetivos incluyen dispositivos de TP-LINK, Zyxel, Asus, Axentra, D-Link y NETGEAR, según un nuevo informe de la empresa francesa de ciberseguridad Sekoia. «Los operadores de la botnet Quad7 parecen estar evolucionando su conjunto de herramientas, introduciendo una nueva puerta trasera y explorando nuevos protocolos, con el objetivo de mejorar el sigilo y evadir las capacidades de seguimiento de sus cajas de retransmisión operativa (ORB)», dijeron los investigadores Felix Aimé, Pierre-Antoine D. y Charles M. Quad7, también llamado 7777, fue documentado públicamente por primera vez por el investigador independiente Gi7w0rm en octubre de 2023, destacando el patrón del grupo de actividad de atrapar enrutadores TP-Link y grabadoras de video digitales (DVR) Dahua en una botnet. Se ha observado que la botnet, que recibe su nombre del hecho de que abre el puerto TCP 7777 en dispositivos comprometidos, realiza ataques de fuerza bruta contra instancias de Microsoft 3665 y Azure. «La botnet también parece infectar otros sistemas como MVPower, Zyxel NAS y GitLab, aunque a un volumen muy bajo», señaló Jacob Baines de VulnCheck a principios de enero. «La botnet no solo inicia un servicio en el puerto 7777. También pone en marcha un servidor SOCKS5 en el puerto 11228». Análisis posteriores realizados por Sekoia y Team Cymru durante los últimos meses descubrieron que la botnet no solo ha comprometido enrutadores TP-Link en Bulgaria, Rusia, EE. UU. y Ucrania, sino que desde entonces también se ha expandido para atacar enrutadores ASUS que tienen abiertos los puertos TCP 63256 y 63260. Los últimos hallazgos muestran que la botnet está compuesta por tres clústeres adicionales: xlogin (también conocida como botnet 7777): una botnet compuesta por enrutadores TP-Link comprometidos que tienen abiertos los puertos TCP 7777 y 11288 alogin (también conocida como botnet 63256): una botnet compuesta por enrutadores ASUS comprometidos que tienen abiertos los puertos TCP 63256 y 63260 rlogin: una botnet compuesta por dispositivos Ruckus Wireless comprometidos que tienen abierto el puerto TCP 63210 axlogin: una botnet capaz de atacar dispositivos NAS Axentra (aún no detectado en la naturaleza) zylogin: una botnet compuesta por dispositivos VPN Zyxel comprometidos que tienen abierto el puerto TCP 3256 Sekoia le dijo a The Hacker News que los países con la mayor cantidad de infecciones son Bulgaria (1093), EE. UU. (733) y Ucrania (697). En otra señal de evolución táctica, los actores de amenazas ahora utilizan una nueva puerta trasera denominada UPDTAE que establece un shell inverso basado en HTTP para establecer control remoto en los dispositivos infectados y ejecutar comandos enviados desde un servidor de comando y control (C2). Actualmente no está claro cuál es el propósito exacto de la botnet o quién está detrás de ella, pero la compañía dijo que la actividad probablemente sea obra de un actor de amenazas patrocinado por el estado chino. «En cuanto al 7777 [botnet]»Solo hemos visto intentos de ataque por fuerza bruta contra cuentas de Microsoft 365», dijo Aimé a la publicación. «En cuanto a las otras botnets, todavía no sabemos cómo se utilizan». «Sin embargo, después de los intercambios con otros investigadores y los nuevos hallazgos, estamos casi seguros de que es más probable que los operadores sean patrocinados por el estado de CN en lugar de simples ciberdelincuentes que hacen lo que les placía». [business email compromise]. «Estamos viendo que el actor de la amenaza intenta ser más sigiloso mediante el uso de nuevos programas maliciosos en los dispositivos periféricos comprometidos. El objetivo principal de esa medida es evitar el seguimiento de las botnets afiliadas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.