Quad7 僵尸网络扩大攻击范围，瞄准 SOHO 路由器和 VPN 设备

     
     Quad7 僵尸网络的运营者正在积极演变，他们利用已知和未知安全漏洞的组合，入侵多个品牌的 SOHO 路由器和 VPN 设备。
     法国网络安全公司 Sekoia 的一份新报告显示，攻击目标包括 TP-LINK、合勤（Zyxel）、华硕（Asus）、Axentra、友讯（D-Link）和网件（NETGEAR）等品牌的设备。
      研究人员菲利克斯·艾梅（Felix Aimé）、皮埃尔 - 安托万·D 和查尔斯·M 表示：“Quad7 僵尸网络的运营者似乎在不断改进他们的工具集，引入了一个新的后门并探索新的协议，目的是提高隐身性并躲避其操作中继盒（ORB）的跟踪能力。”
     Quad7，也被称为 7777，于 2023 年 10 月首次由独立研究员 Gi7w0rm 公开记录，强调了该活动集群将 TP-Link 路由器和大华数字视频录像机（DVR）卷入僵尸网络的模式。
    这个僵尸网络因在被入侵的设备上打开 TCP 端口 7777 而得名，已被观察到对微软 3665 和 Azure 实例进行暴力破解。
    VulnCheck 的雅各布·贝恩斯（Jacob Baines）在今年 1 月早些时候指出：“这个僵尸网络似乎还感染了其他系统，如 MVPower、合勤 NAS 和 GitLab，尽管感染数量非常少。这个僵尸网络不仅在端口 7777 上启动服务，还在端口 11228 上启动一个 SOCKS5 服务器。”
     在过去几个月里，Sekoia 和 Team Cymru 的后续分析发现，这个僵尸网络不仅入侵了保加利亚、俄罗斯、美国和乌克兰的 TP-Link 路由器，而且还扩展到攻击打开了 TCP 端口 63256 和 63260 的华硕路由器。