Quad7 僵尸网络扩大攻击范围,瞄准 SOHO 路由器和 VPN 设备

2024-09-12 18:16:15 0 708

Quad7 僵尸网络的运营者正在积极演变,他们利用已知和未知安全漏洞的组合,入侵多个品牌的 SOHO 路由器和 VPN 设备。


     
     Quad7 僵尸网络的运营者正在积极演变,他们利用已知和未知安全漏洞的组合,入侵多个品牌的 SOHO 路由器和 VPN 设备。
     法国网络安全公司 Sekoia 的一份新报告显示,攻击目标包括 TP-LINK、合勤(Zyxel)、华硕(Asus)、Axentra、友讯(D-Link)和网件(NETGEAR)等品牌的设备。
      研究人员菲利克斯·艾梅(Felix Aimé)、皮埃尔 - 安托万·D 和查尔斯·M 表示:“Quad7 僵尸网络的运营者似乎在不断改进他们的工具集,引入了一个新的后门并探索新的协议,目的是提高隐身性并躲避其操作中继盒(ORB)的跟踪能力。”
     Quad7,也被称为 7777,于 2023 年 10 月首次由独立研究员 Gi7w0rm 公开记录,强调了该活动集群将 TP-Link 路由器和大华数字视频录像机(DVR)卷入僵尸网络的模式。
    这个僵尸网络因在被入侵的设备上打开 TCP 端口 7777 而得名,已被观察到对微软 3665 和 Azure 实例进行暴力破解。
    VulnCheck 的雅各布·贝恩斯(Jacob Baines)在今年 1 月早些时候指出:“这个僵尸网络似乎还感染了其他系统,如 MVPower、合勤 NAS 和 GitLab,尽管感染数量非常少。这个僵尸网络不仅在端口 7777 上启动服务,还在端口 11228 上启动一个 SOCKS5 服务器。”
     在过去几个月里,Sekoia 和 Team Cymru 的后续分析发现,这个僵尸网络不仅入侵了保加利亚、俄罗斯、美国和乌克兰的 TP-Link 路由器,而且还扩展到攻击打开了 TCP 端口 63256 和 63260 的华硕路由器。

关于作者

longbbyl21篇文章418篇回复

评论0次

要评论?请先  登录  或  注册