خانه » بات نت Quad7، هزاران روتر را هک کرد!

بات نت Quad7، هزاران روتر را هک کرد!

توسط Vulnerbyte
30 بازدید
گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بات نت Quad7 - هک هزاران روتر

مایکروسافت هشدار داده است که هکرهای چینی از بات نت Quad7 (با نام مستعار Botnet-7777، CovertNetwork-1658 و xlogin) که متشکل از هزاران روتر هک شده است برای سرقت اطلاعات کاربری و انجام حملات password spray استفاده می‌کنند.

این بات نت اولین بار در اکتبر 2023 توسط محقق امنیتی Gi7w0rm کشف شد که به دلیل استفاده از پورت 7777 آن را Botnet-7777 نامید. مایکروسافت، بات ‌نت Quad7  را به گروه Storm-0940 چینی نسبت داده است.

این بات ‌نت به طور گسترده به روترها و دستگاه‌های شبکه از TP-Link و Asus، دستگاه‌های بی‌سیم Ruckus، NAS Axentra و VPN Zyxel حمله می‌کند.

هکرها پس از هک دستگاه‌ها، بدافزار سفارشی را روی آن‌ها مستقر می‌کنند که امکان دسترسی از راه دور به دستگاه‌ها را از طریق Telnet فراهم می‌‌آورد و بسته به دستگاه آسیب‌ پذیر، بنرهای مختلفی را نمایش می‌دهد:

  • xlogin- سرویس Telnetبه پورت TCP 7777 در روترهای TP-Linkمتصل می‌شود.
  • Alogin- سرویس Telnetبه پورت TCP 63256در روترهای ASUSمتصل می‌شود.
  • rlogin – سرویس Telnetبه پورت TCP 63210در دستگاه‌های Ruckusمتصل می‌شود.
  • Axlogin- بنر Telnet در دستگاه‌های Axentra NAS نمایش داده میشود.
  • Zylogin- سرویس Telnetبه پورت TCP 3256در دستگاه‌های Zyxel VPNمتصل می‌شود.

هکرها در برخی موارد، یک سرور پروکسی SOCKS5 را بر روی دستگاه‌های هک شده نصب می‌کنند که برای پروکسی کردن حملات و جلوگیری از شناسایی، با ترافیک قانونی ترکیب می‌شود.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بات نت Quad7 - هک هزاران روتر
دستگاه‌های مورد هدف بات ‌نت Quad7 و کاربرد آن‌ها

بات نت Quad7، تاکنون توانسته است چندین برند از روترهای SOHO (روترهای خانگی و اداری کوچک) و دستگاه‌های VPN از جمله TP-Link، Zyxel، Asus، Axentra، D-Link و NETGEAR را هدف قرار دهد.

به گفته مایکروسافت، هکرهای پشت بات نت Quad7 هنگام انجام حملات password spray ، تهاجمی عمل نمی‌کنند و فقط سعی دارند چند بار در هر حساب کاربری وارد شوند و از ایجاد هر گونه هشدار جلوگیری کنند.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بات نت 7777- هک هزاران روتر
تلاش برای ورود به حساب

گروه Storm-0940 گاهی اوقات، پس از سرقت اطلاعات، از آنها برای به نفوذ به شبکه‌های هدف درست در همان روز حمله استفاده می‌کند. هنگامی که هکرها به شبکه هدف نفوذ کردند، با سرقت اطلاعات بیشتر و نصب ابزارهای RAT و پروکسی و حرکت حانبی در شبکه به کار خود ادامه می‌دهند. هدف نهایی از چنین حملاتی، سرقت داده، احتمالاً به منظور جاسوسی سایبری است.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بات نت Quad7 - هک هزاران روتر
طرح حمله به دستگاه های شبکه با استفاده از مثال TP-Link

لازم به ذکر است که محققان هنوز دقیقاً تعیین نکرده‌اند که اپراتورهای Quad7 چگونه روترها و سایر دستگاه‌های شبکه را هک می‌کنند اما متخصصان Sekoia قبلا گفته بودند که یکی از هانی پات‌های این شرکت توسط Quad7 با استفاده از یک آسیب پذیری روز صفر در OpenWRT هک شده است. اما نحوه هک کردن سایر دستگاه‌ها توسط مهاجمان هنوز مشخص نیست.

 

توصیه‌ها

سازمان‌ها می‌توانند با رعایت نکات امنیتی در برابر حملات password spray از خود دفاع کنند. مایکروسافت برای کاهش تأثیر این تهدید اقدامات زیر را توصیه می‌کند:

  • احراز هویت چند عاملی (MFA) را در همه اکانت‌ها اجرا کنید.
  • از راه حل‌های امنیتی ابری برای شناسایی تهدیدات یا اکانت‌های هک شده استفاده کنید.
  • اکانت‌های قدیمی یا استفاده نشده را غیرفعال کنید.
  • گذرواژه‌های اکانت‌های هک شده را بازنشانی کنید.
  • مجوزها و سطح دسترسی اکانت‌ها را محدود کنید.
  • معیارهای امنیتی Azure و بهترین شیوه‌های عمومی برای ایمن سازی زیرساخت‌ها را اجرا کنید.
  • به کاربران در مورد حملات فیشینگ و سرقت داده‌های احراز هویت آموزش دهید.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید