Quad7 Botnet Expands to Target SOHO Routers and VPN Appliances
Quad7 Botnet Expands to Target SOHO Routers and VPN Appliances
Quad7 botnet evolves, targeting routers with new stealth techniques, compromising major brands globally in expanding attacks.
thehackernews.com
- Quad7 봇넷 확장
- Quad7 봇넷(또는 7777)은 진화 중이며, 알려진 및 미확인 보안 취약점을 악용해 SOHO 라우터와 VPN 장치를 타겟으로 하고 있음
- 타겟 장치
- TP-Link, Zyxel, Asus, Axentra, D-Link, NETGEAR의 장치들이 Quad7 봇넷의 주요 공격 대상이라고 Sekoia는 보고
- 봇넷 구조
- 이 봇넷은 여러 클러스터로 구성되며, xlogin(TP-Link 라우터), alogin(ASUS 라우터), rlogin(Ruckus 무선 장치), zylogin(Zyxel VPN 장치) 등의 클러스터로 나뉨
- 새로운 클러스터인 axlogin(Axentra NAS 장치)도 발견됐지만, 아직 활성화된 사례는 없음
- 새로운 백도어 도입
- 봇넷 운영자는 UPDTAE라는 새로운 백도어를 도입했으며, 이는 HTTP 기반 역방향 셸을 사용해 감염된 장치에 원격 제어를 설정하고 C2 서버로부터 명령을 실행함
- 지리적 감염
- 가장 많은 감염이 발생한 국가는 불가리아(1,093건), 미국(733건), 우크라이나(697건)
- 은폐 및 진화
- 봇넷 운영자는 새로운 악성코드와 프로토콜을 사용해 추적을 피하려 하고 있으며, 더 은밀한 방식으로 활동 중
- 중국 연계 가능성
- 공격자가 누구인지는 아직 명확하지 않으나, Sekoia는 이 활동이 중국 정부와 연계된 국가 지원 해커일 가능성이 있다고 보고 있음
- Microsoft 365 타겟
- 봇넷은 Microsoft 365 계정을 대상으로 한 무차별 공격을 수행하는 것이 확인됐지만, 봇넷의 전체적인 목적은 아직 불명확
- 고급 위협 행위자
- 이 봇넷 운영자는 단순한 사이버 범죄자가 아니라 국가 지원을 받는 사이버 스파이일 가능성이 높다고 평가되고 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 구글, 사내보안 어떻게…"업무 시 하드웨어 본인인증은 기본" (1) | 2024.09.16 |
|---|---|
| 전국적인 인터넷 접속 장애, 무슨 일이 일어났나? (0) | 2024.09.16 |
| “기술유출 대책이라지만”…삼성디스플레이, 웹캠 인증 딜레마 (0) | 2024.09.16 |
| NoSQL·쿠버네티스 보안으로 안전한 클라우드 네이티브 운영 (0) | 2024.09.16 |
| 카카오페이의 개인정보 제공과 딜레마 (1) | 2024.09.16 |