TTL OSINT

07.08.2024 143 2 мин.

БОТНЕТ 7777: ВЫ ДЕЛАЕТЕ СТАВКУ НА ВЗЛОМАННЫЙ МАРШРУТИЗАТОР?

В статье рассматривается ботнет 7777, также известный как Quad 7, который был впервые обнаружен в октябре 2023 года. Ботнет, насчитывающий около 10 000 узлов, в основном используется для малообъемных атак методом "грубой силы" на экземпляры Microsoft Azure. Хотя в первоначальных отчетах предполагалось, что целью были VIP-пользователи, более поздние исследования показывают, что четкой схемы таргетинга нет. Ботнет получил свое название из-за того, что он уникальным образом открывает TCP-порт 7777 на скомпрометированных маршрутизаторах-"зомби". В статье также обсуждается обнаружение потенциального расширения деятельности оператора угроз Quad7 со второй группой ботов, для которых характерен открытый порт 63256, в основном состоящий из зараженных маршрутизаторов Asus. По состоянию на 05 августа 2024 года насчитывалось 12 783 активных бота с четырьмя IP-адресами управления, которые в настоящее время активны или были замечены в последний раз за последние 30 дней. В статье также рассказывается об использовании порта 11288 для прокси-сервиса SOCKS5, который, как было установлено, использовался для брутфорсинговых атак на учетные записи Microsoft 365. Было замечено, что ботнет 63256, насчитывающий более 5000 устройств-"зомби", состоит в основном из зараженных маршрутизаторов Asus. Статья завершается обсуждением анализа данных NetFlow, который выявил семь различных поставщиков и три интересующих руководство IP-адреса.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.team-cymru.com/post/botnet-7777-are-you-betting-on-a-compromised-router

Примеры признаков компромисса:

• 104.168.152.139
• 151.236.20.211
• 23.254.209.118
• 23.254.201.175
• 23.227.196.73

Источник: TTL OSINT