Le botnet Quad7 fait évoluer son fonctionnement en ciblant d’autres appareils SOHO avec de nouveaux logiciels malveillants personnalisés pour les appliances VPN Zyxel, les routeurs sans fil Ruckus et les serveurs multimédias Axentra.
Cela s’ajoute aux routeurs TP-Link signalés précédemment par Sekoia, et signalés pour la première fois par le chercheur Gi7w0rm, qui a donné son nom au botnet en raison du ciblage du port 7777. De plus, les routeurs ASUS ciblés par un cluster distinct découvert par l’équipe Cymru deux semaines plus tard.
Sekoia a compilé un nouveau rapport mettant en garde contre l’évolution de Quad7, qui inclut la mise en place de nouveaux serveurs intermédiaires, le lancement de nouveaux clusters de botnet, l’utilisation de nouvelles portes dérobées et de shells inversés, et l’abandon des proxys SOCKS pour une opération plus furtive.
L’évolution continue du botnet montre que ses créateurs n’ont pas été dissuadés par les erreurs révélées par l’analyse de la cybersécurité et sont maintenant en transition vers des technologies plus évasives.
L’objectif opérationnel de Quad7 reste flou, peut-être pour lancer des attaques par force brute distribuées sur les VPN, Telnet, SSH et les comptes Microsoft 365.
De nouveaux clusters ciblent Zyxel et Ruckus
Le botnet Quad7 comprend plusieurs sous-clusters identifiés comme des variantes de *login, chacun d’eux ciblant des périphériques spécifiques et affichant une bannière de bienvenue différente lors de la connexion au port Telnet.
Par exemple, la bannière de bienvenue Telnet sur les appareils sans fil Ruckus est « rlogin », comme illustré par le résultat Censys ci-dessous.
La liste complète des clusters malveillants et leurs bannières de bienvenue sont:
- xlogin-Telnet lié au port TCP 7777 sur les routeurs TP-Link
- alogin-Telnet lié au port TCP 63256 sur les routeurs ASUS
- rlogin-Telnet lié au port TCP 63210 sur les périphériques sans fil Ruckus.
- bannière axlogin-Telnet sur les périphériques NAS Axentra (Porno inconnu comme on ne le voit pas à l’état sauvage)
- connexion zyl-Telnet liée au port TCP 3256 sur les appliances VPN Zyxel
Certains de ces grands clusters, comme « login » et « login », compromettent plusieurs milliers d’appareils.
D’autres, comme « rlogin », qui a débuté vers juin 2024, ne comptent que 298 infections à la date de cette publication. Le cluster « zylogin » est également très petit, avec seulement deux appareils. Le cluster axlogin ne montre aucune infection active pour le moment.
Néanmoins, ces sous-clusters émergents pourraient sortir de leur phase expérimentale ou incorporer de nouvelles vulnérabilités qui ciblent des modèles plus largement exposés, de sorte que la menace reste importante.
Évolution de la communication et des tactiques
Les dernières découvertes de Sekoia montrent que le botnet Quad 7 a considérablement évolué dans ses méthodes et tactiques de communication, en se concentrant sur l’évasion de détection et une meilleure efficacité opérationnelle.
Premièrement, les proxys SOCKS ouverts, dans lesquels le botnet s’appuyait fortement sur les versions précédentes pour relayer le trafic malveillant, comme les tentatives de forçage brutal, sont progressivement supprimés.
Au lieu de cela, les opérateurs Quad 7 utilisent désormais le protocole de communication KCP pour relayer les attaques via un nouvel outil, « FsyNet », qui communique via UDP, ce qui rend la détection et le suivi beaucoup plus difficiles.
De plus, les auteurs de menaces utilisent désormais une nouvelle porte dérobée nommée « UPDATE » qui établit des shells inversés HTTP pour le contrôle à distance sur les appareils infectés.
Cela permet aux opérateurs de contrôler les périphériques sans exposer les interfaces de connexion et en laissant les ports ouverts qui sont facilement détectables via des analyses Internet, comme Censys.
Il y a aussi des expérimentations avec une nouvelle « méthode » binaire qui utilise le protocole de type darknet CJDroute 2, donc un mécanisme de communication encore plus furtif est probablement en préparation.
Pour atténuer le risque d’infections de botnet, appliquez la dernière mise à jour de sécurité du micrologiciel de votre modèle, modifiez les informations d’identification d’administrateur par défaut avec un mot de passe fort et désactivez les portails d’administration Web si cela n’est pas nécessaire.
Si votre appareil n’est plus pris en charge, il vous est fortement conseillé de passer à un modèle plus récent qui continue de recevoir des mises à jour de sécurité.