7777

Quad7 ボットネットは、Zyxel VPN アプライアンス、Ruckus ワイヤレス・ルーター、Axentra メディア・サーバー向けの新しいカスタム・マルウェアを使用して、さらに SOHO デバイスをターゲットとすることで、その動作を進化させている。

これは、Sekoia によって以前に報告され、研究者 Gi7w0rm によって最初に報告された TP-Link ルーターに加えて行われるもので、ポート 7777 を標的とすることからこのボットネットの名前が付けられました。また、2週間後にTeam Cymruによって発見された別のクラスターが標的としたASUSのルーターもあります。

Sekoiaは、Quad7の進化について警告する新たなレポートをまとめました。このレポートには、新たなステージング・サーバーの設置、新たなボットネット・クラスターの立ち上げ、新たなバックドアとリバースシェルの採用、よりステルスな運用のためのSOCKSプロキシからの移行などが含まれています。

ボットネットの継続的な進化は、その作成者がサイバーセキュリティ分析によって明らかになった過ちにもめげず、現在ではより回避的な技術に移行していることを示している。

Quad7の運用目標は依然として不透明で、おそらくVPN、Telnet、SSH、Microsoft 365アカウントに対する分散型総当たり攻撃を仕掛けるためだろう。

新たなクラスタはZyxelとRuckusを標的に

Quad7ボットネットは、*loginの亜種として特定された複数のサブクラスタから構成されており、それぞれが特定のデバイスを標的として、Telnetポートへの接続時に異なるウェルカムバナーを表示します。

たとえば、以下の Censys の結果に示されているように、Ruckus ワイヤレス・デバイスの Telnet ウェルカム・バナーは「rlogin」です。

Infected Ruckus device found on Censys
感染した Ruckus デバイスが Censys
ソースで 見つかりました

悪意のあるクラスタとそのウェルカム・バナーの完全なリストは以下のとおりです:

  • xlogin – TP-Link ルーターの TCP ポート 7777 にバインドされた Telnet
  • alogin – ASUSルーターのTCPポート63256にバインドされたTelnet
  • rlogin – RuckusワイヤレスデバイスのTCPポート63210にバインドされたTelnet。
  • axlogin– Axentra NAS デバイス上の Telnet バナー (野生では見られないため、ポルノは不明)
  • zylogin– Zyxel VPNアプライアンスのTCPポート3256にバインドされたTelnet

xlogin」や「alogin」のような大規模なクラスタの中には、数千台のデバイスを危険にさらすものもある。

また、2024年6月頃に始まった「rlogin」のように、本書の時点で298件の感染を数えるにとどまっているものもあります。zylogin」のクラスターも非常に小さく、わずか2台のデバイスしかない。axlogin」クラスターは、現時点ではアクティブな感染を示していない。

それでも、これらの新たなサブクラスタは、実験段階から抜け出したり、より広く公開されているモデルを標的とする新たな脆弱性を取り込んだりする可能性があるため、脅威は依然として重大です。

Quad7's subclusters
Quad7のサブクラスタ
Source:セコイア

コミュニケーションと戦術の進化

セコイアの最新の調査結果によると、Quad7ボットネットの通信方法と戦術は大幅に進化しており、検知の回避と運用効果の向上に重点を置いています。

まず、ボットネットがブルートフォースなどの悪意のあるトラフィックを中継するために以前のバージョンに大きく依存していたオープンなSOCKSプロキシは、段階的に廃止されています。

その代わりに、Quad7のオペレーターは現在、KCP通信プロトコルを利用し、UDP上で通信する新しいツール「FsyNet」を介して攻撃を中継しており、検知や追跡が非常に困難になっています。

FsyNet's communication decryption process
FsyNetの通信復号プロセス
ソースはこちら:セコイア

また、脅威当事者は現在、「UPDTAE」と名付けられた新しいバックドアを利用しており、感染したデバイス上でリモートコントロール用のHTTPリバースシェルを確立します。

これにより、操作者はログイン・インターフェースを公開することなくデバイスを制御でき、Censysのようなインターネット・スキャンによって容易に発見可能なポートを開いたままにすることができます。

Reverse shell communications
リバースシェル通信
セコイア

また、ダークネットのようなプロトコルCJD route2を使用する新しい’netd’バイナリの実験も行われており、さらにステルス性の高い通信メカニズムが開発されている可能性が高い。

ボットネット感染のリスクを軽減するには、お使いの機種の最新のファームウェア・セキュリティ・アップデートを適用し、デフォルトの管理者認証情報を強力なパスワードに変更し、必要なければウェブ管理者ポータルを無効にします。

お使いのデバイスのサポートが終了している場合は、セキュリティ・アップデートが継続される新しいモデルにアップグレードすることを強くお勧めします。