От камеры до облака: Quad7 – враг TP-Link и Microsoft 365

Компания Sekoia .io совместно с Intrinsec детально изучила работу ботнета Quad7 (7777), который использует порт TCP/7777 на заражённых маршрутизаторах и проводит брутфорс -атаки на аккаунты Microsoft 365 по всему миру. Специалисты обнаружили атаки на 0,11% отслеживаемых аккаунтов.

Ключевые моменты, которые выделили исследователи:

• Эволюция ботнета: Quad7 существует давно и развивается. Количество уникальных IP-адресов сократилось с 16 000 в августе 2022 года до 7 000 в июле 2024 года. Наибольшее количество заражённых устройств находится в Болгарии, России, США и Украине.
• Цели ботнета: Quad7 нацелен на различные IoT-устройства, включая IP-камеры, NAS-устройства и SOHO-маршрутизаторы, преимущественно TP-Link.
• Обнаружение TP-Link: Операторы ботнета отключают интерфейс управления TP-Link после взлома, что затрудняет обнаружение. Исследователи использовали инструмент hping3 и обнаружили, что большинство устройств имеют размер окна TCP, характерный для старых версий ядра Linux, используемых в маршрутизаторах TP-Link.

Размер окна TCP указал на скомпрометированный роутер

Исследователи мониторили маршрутизатор TP-Link WR841N с уязвимой прошивкой, предоставив к нему доступ с пяти разных IP-адресов. Специалисты настроили удалённый анализ и использовали библиотеку Scapy для мониторинга попыток аутентификации.

После нескольких дней ожидания была зафиксирована атака, при которой злоумышленник использовал уязвимость для раскрытия файлов и выполнения кода. Хакер запустил Dropbear (легковесный SSH-агент) на более высоком порту и передал пакет утилит BusyBox через SSH-сессию, после чего покинул маршрутизатор, очистив следы.

В другом случае мониторинг заражённого маршрутизатора Archer C7 v2.0 обнаружил подозрительные процессы: telnetd, xlogin и socks5. Злоумышленник деактивировал веб-интерфейс, убив процесс httpd. Анализ позволил получить загруженные на роутер двоичные файлы.

Двоичный файл Telnet прослушивает TCP/7777 и перенаправляет входящие соединения на простую аутентифицированную оболочку с именем xlogin. Кроме того, с помощью прокси-сервера Socks5 прослушивается порт SOCKS/11288, через который проводятся брутфорс-атаки на аккаунты Microsoft 365.

Анализ сетевого трафика показал, что ботнет Quad7 используется для атак методом Password Spraying на аккаунты Microsoft 365. Были зафиксированы подключения к серверам для проверки IP-адресов и обновления бинарных файлов. Несмотря на проведенное исследование, остаются нераскрытые вопросы – атрибуция атак, используемые уязвимости и географическое распределение ботнета. Исследователи Sekoia.io призывают компании, обладающие более широкой картиной, помочь в решении этих загадок.