TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьРазгадка загадки ботнета 7777: поиск путей обеспечения кибербезопасности
В статье обсуждается расследование ботнета 7777, загадочного ботнета, связанного с TCP-портом 7777, открытым на скомпрометированных устройствах, на которых отображается загадочный баннер xlogin:. Было замечено, что ботнет, который, как предполагается, нацелен на различные типы устройств Интернета вещей (IOT) и маршрутизаторов SOHO, преимущественно TP-Link, использует прокси-серверы Socks5 на скомпрометированных устройствах для ретрансляции медленных атак "грубой силы" на учетные записи Microsoft 365. Расследование показало, что почти все скомпрометированные активы были маршрутизаторами TP-Link, поскольку операторы ботнета Quad 7 пытаются отключить интерфейс управления TP-Link после его компрометации. Исследователи использовали инструмент hping3 для сканирования скомпрометированных IP-адресов и обнаружили, что большинство скомпрометированных устройств, участвующих в ботнете Quad7, имеют размер Windows, соответствующий старым версиям ядра Linux, используемым маршрутизаторами TP-Link. Они настроили систему для мониторинга маршрутизатора TP-Link WR841N в течение нескольких месяцев и наблюдали заметную атаку, которая привела к раскрытию не прошедшего проверку подлинности файла и внедрению команды, что позволило злоумышленнику получить пару учетных данных, хранящихся в /tmp/dropbear/dropbearpwd, и добиться удаленного выполнения кода. Исследователи также обнаружили, что этот злоумышленник нацелился на IP-адреса, скомпрометированные ботнетом Quad 7, что указывает на возможное совпадение целей, но не обязательно на взаимосвязанные атаки.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://blog.sekoia.io/solving-the-7777-botnet-enigma-a-cybersecurity-quest/
Примеры признаков компромисса:
- 151.236.20.211
- 386bf8259668c0abb6c72fdcae904164
- 29e6df5bb30ed8fd12c09d9b6890ab4f
- 23.254.201.175
- 98d3764862b182417c910a96e0fbfe71
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
ПОВЫСЬТЕ КОМПЕТЕНЦИИ КОМАНДЫ
Бесплатное обучение по SC SIEM
Даем знания и навыки для эффективной работы.
Начать обучение