セキュリティ企業のSekoiaは9月9日(現地時間)、「A glimpse into the Quad7 operators' next moves and associated botnets」において、TP-Linkのルータを標的にするボットネット「Quad7」がASUSのルータ、ZyxelのVPNアプライアンス、Ruckusの無線LANルータ、Axentraのメディアサーバを新たな標的に加えたと伝えた。

  • A glimpse into the Quad7 operators' next moves and associated botnets

    A glimpse into the Quad7 operators' next moves and associated botnets

ボットネット「Quad7」の正体

ボットネット「Quad7」はセキュリティ研究者のGi7w0rm氏およびDunstable Toblerone氏により発見された。両氏は2023年10月に、Mediumに調査結果を投稿している(参考:「The curious case of the 7777-Botnet | by Gi7w0rm | Medium」)。

調査結果によると、このボットネットは感染したデバイスのポート7777を開き、Telnetのログインメッセージに見える「xlogin:」を応答する特徴があるという。この特徴から「Quad7」と呼ばれる。ボットネットは週に2、3回程度、小規模な攻撃に悪用されたと推測されているが、Gi7w0rm氏はその後の調査に失敗しており、詳細は明らかになっていない。

発見当初はTP-Linkの無線LANルータ「TL-WR841N」を主な感染先にしていたことが確認されている。Sekoiaの調査によると、感染デバイスの地理的な分布には偏りがあり、ブルガリアが最も多く、ロシア、米国、ウクライナがこれに続くとされる。

  • Quad7の感染分布 - 引用:Sekoia

    Quad7の感染分布 引用:Sekoia

Sekoiaはその後の調査でASUSのルータに感染し、TCPポート63256を開いて「alogin:」を応答するボットネットを発見している。このボットネットはQuad7と管理サーバを共有しており、同じ脅威グループに属すると評価されている。

他にも、Ruckusのルータに感染し「rlogin:」を応答するボットネット、Axentraメディアサーバに感染し「axlogin:」を応答するボットネット、Zyxel VPNアプライアンスに感染し「zylogin:」を応答するボットネットが発見されている。これらもQuad7と同じ脅威グループに属するボットネットと評価されている。

戦術の進化

Sekoiaの調査によると、Quad7は通信方法と戦術を大幅に進化させたという。従来は攻撃制御の通信にSOCKSプロキシを使用していたが、KCPプロトコルを使用した検出困難な「FsyNet」に移行中とされる。

  • FsyNetの復号化プロセス - 引用:Sekoia

    FsyNetの復号プロセス 引用:Sekoia

また、バックドア「UPDTAE(UPDATEのタイプミスとみられる)」の存在も確認された。脅威グループのオペレーターによって現在テスト中とみられるこのバックドアは、HTTPプロトコルを使用したリバースシェルとされる。感染デバイスにログインインタフェースがない場合に使用すると推測されている。

対策

SekoiaはQuad7を検出するYaraルールおよびSuricataルールを公開した。また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)も公開しており、必要に応じてこれらを活用することが望まれている。