#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Более года продолжается постоянная вредоносная кампания, нацеленная на разработчиков Roblox с помощью вредоносных пакетов NPM, имитирующих библиотеку "noblox.js". Злоумышленники используют обманную тактику, такую как брендджекинг и комбо-сквоттинг, чтобы обманом заставить разработчиков установить вредоносное ПО, которое может красть конфиденциальные данные, компрометировать системы и обходить меры безопасности. Вредоносная программа использует постинсталляционный механизм NPM и манипулирует ключами реестра Windows для обеспечения сохраняемости, а также подрывает программное обеспечение безопасности, такое как Malwarebytes и Windows Defender. Злоумышленники используют веб-интерфейс Discord для фильтрации данных и развертывают QuasarRAT для удаленного доступа и контроля. Разработчиков предупреждают о необходимости тщательной проверки пакетов и мониторинга деятельности экосистемы с открытым исходным кодом для защиты от атак в цепочке поставок.
-----

Вредоносная кампания, нацеленная на разработчиков Roblox с помощью вредоносных пакетов NPM, имитирующих библиотеку "noblox.js", продолжается уже более года.

Злоумышленники используют такие тактики, как брендджекинг, комбо-сквоттинг и старджекинг, чтобы вредоносные пакеты выглядели законными и заслуживающими доверия.

Возможности вредоносного ПО включают кражу токенов Discord, сбор системной информации, обеспечение постоянства и развертывание дополнительных полезных функций, таких как Quasar RAT.

Вредоносные пакеты используют функцию автоматического запуска NPM после установки и манипулируют разделами реестра Windows для получения долгосрочного доступа.

Вредоносная программа подрывает работу программного обеспечения безопасности и загружает дополнительные исполняемые файлы из репозитория злоумышленника на GitHub.

Злоумышленники используют веб-узел Discord для отправки собранной конфиденциальной информации на сервер управления.

QuasarRAT развертывается на завершающей стадии, обеспечивая удаленный доступ и широкий контроль над зараженными системами.

Вредоносные пакеты исходят из активного репозитория GitHub, принадлежащего пользователю "aspdasdksa2", и размещаются в таких репозиториях, как "noblox-spoof"..

Разработчикам рекомендуется тщательно проверять пакеты, отслеживать подозрительные действия и уделять приоритетное внимание обеспечению безопасности для защиты от атак в цепочке поставок.

#ParsedReport #CompletenessHigh
09-09-2024

Russian Military Cyber Actors Target U.S. and Global Critical Infrastructure

https://media.defense.gov/2024/Sep/05/2003537870/-1/-1/0/CSA-Russian-Military-Cyber-Target-US-Global-CI.PDF

Report completeness: High

Actors/Campaigns:
Cadet_blizzard
Ruinous_ursa
Ember_bear
Unc2589
Emissary_panda

Threats:
Whispergate
Acunetix_tool
Nmap_tool
Droopescan_tool
Joomscan_tool
Masscan_tool
Netcat_tool
Wpscan_tool
Impacket_tool
Raspberry_robin
Saintbot
Passthehash_technique
Proxychains_tool
Bloodhound_tool
Crackmapexec_tool
Linpeas_tool
Password_spray_technique
Dns_tunneling_technique
Credential_dumping_technique
Meterpreter_tool
Supply_chain_technique
Eazfuscator_tool
Advancedrun_tool
Whisperkill
Upas

Industry:
Critical_infrastructure, Healthcare, Transport, Government, Iot, Education, Military, Energy, Software_development

Geo:
Australian, Latvian, Asian, America, Asia, Canada, German, United kingdom, Ukrainian, American, Russian, Latin america, Netherlands, Ukraine, Canadian, Czech

CVEs:
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit project polkit (<121)

CVE-2022-27666 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux kernel (<5.17)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)

CVE-2022-26138 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian questions for confluence (2.7.34, 2.7.35, 3.0.2)

CVE-2021-33044 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2021-33045 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dahuasecurity ipc-hum7xxx firmware (<2.820.0000000.5.r.210705)

CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo project sudo (<1.8.32, <1.9.5)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

TTPs:
Tactics: 11
Technics: 30

IOCs:
File: 22
Hash: 179
Domain: 2
Url: 7
Path: 4
Command: 1
IP: 24

Soft:
Scripting Engine, Active Directory, Confluence, SSHPass, MySQL, psexec, Microsoft Outlook, Local Security Authority, Discord, Microsoft Word, have more...

Crypto:
bitcoin

Algorithms:
rc4, md5, xor, zip, sha256, gzip, base64

Win API:
ARC

Win Services:
WebClient

Languages:
visual_basic, perl, php, java, powershell

Links:
https://github.com/jbaines-r7/through\_the\_wire
https://github.com/OWASP/joomscan
https://github.com/owasp-amass/amass
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности подразделения 29155 ГРУ, российской кибергруппы, которая с 2020 года нацелена на глобальные организации, занимающиеся вредоносной кибердеятельностью, с недавним акцентом на Украину в 2022 году. В рекомендациях предлагаются меры безопасности для смягчения этих киберугроз, подробно описываются тактика, инструменты и методы участников, особое внимание уделяется вредоносному ПО WhisperGate и его операционной инфраструктуре через учетные записи Discord. В тексте подчеркивается важность исправления уязвимостей, сегментации сети, защиты учетных данных, мониторинга системы и тестирования средств защиты для противодействия этим угрозам. Кроме того, в нем рассматриваются функциональные возможности вредоносного ПО, логика расшифровки и разрушительные возможности, включая информацию о действиях злоумышленников, использующих промежуточные хосты и законные службы для несанкционированного доступа.
-----

Подразделение 29155 ГРУ, российская кибергруппа, с 2020 года осуществляет вредоносную кибератаку, направленную против глобальных организаций с целью шпионажа, саботажа и нанесения ущерба репутации.

Вредоносная программа WhisperGate была развернута против нескольких украинских организаций начиная с 13 января 2022 года.

Участники подразделения 29155 нападали на членов НАТО и продавали или разглашали полученные данные о жертвах.

Они нацелены на такие важные секторы, как государственное управление, финансы, транспорт, энергетика и здравоохранение во многих регионах.

Участники используют общепринятые методы объединения в красную команду и общедоступные инструменты, чтобы избежать рисков присвоения авторства.

Они используют уязвимости в системах, подключенных к Интернету, и используют сети конфиденциальности для обеспечения анонимности.

Организациям рекомендуется устранять известные уязвимости, проводить сканирование уязвимостей и внедрять сегментацию сети для противодействия этим угрозам.

Вредоносная программа WhisperGate распространяется через учетные записи Discord и включает в себя двухэтапный процесс.

Образцы вредоносных программ, таких как stage2.exe и Tbopbh.jpg, анализируются, выявляя логику шифрования и разрушительные возможности.

Злоумышленники используют jump-хосты для несанкционированного доступа в защищенных сетях и используют законные сервисы, такие как ngrok, для вредоносных целей.

#ParsedReport #CompletenessMedium
09-09-2024

Loki: a new private agent for the popular Mythic framework

https://securelist.com/loki-agent-for-mythic/113596

Report completeness: Medium

Threats:
Mythic_c2
Loki_backdoor
Loki_bot
Loki_locker
Backdoor.win64.mloki
Apfell_tool
Havoc
Gtunnel_tool

Victims:
Russian companies

Industry:
Healthcare

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1071, T1090, T1566, T1027

IOCs:
Url: 4
File: 7
Hash: 18

Soft:
macOS

Algorithms:
base64, sha1, sha256, md5, aes

Platforms:
cross-platform, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе бэкдора Loki, новой угрозы, которая использует фреймворк Havoc и использует методы обфускации для сокрытия своего вредоносного поведения. Loki делится на загрузчик и библиотеку DLL, основные функциональные возможности которой находятся в компоненте DLL. Вредоносная программа взаимодействует с сервером управления, использует алгоритм хэширования djb2 и не обладает возможностями туннелирования трафика, что требует от злоумышленников использования сторонних утилит для доступа к частным сетям. Злоумышленники, стоящие за Loki, нацелены на российские компании в различных секторах, адаптируют свои подходы к каждой цели, чтобы избежать обнаружения, и демонстрируют явное намерение избежать установления авторства. В тексте также затрагиваются проблемы, связанные с растущим использованием платформ постэксплуатации с открытым исходным кодом, таких как Mythic, в сфере кибербезопасности.
-----

В июле 2024 года была обнаружена новая угроза под названием Loki backdoor, идентифицированная как частная версия агента для платформы Mythic с открытым исходным кодом.

Бэкдор Loki классифицируется как Backdoor.Win64.MLoki, чтобы отличать его от других разновидностей вредоносных программ, таких как Loki Bot и Loki Locker.

Агент Loki представляет собой модифицированную версию платформы Havoc framework и включает в себя методы обфускации, такие как шифрование изображений в памяти и использование хэшированных функций API для сокрытия информации.

Бэкдор Loki состоит из загрузчика и библиотеки DLL, причем основные вредоносные функции находятся в компоненте DLL.

Загрузчик Loki взаимодействует с сервером управления (C2), чтобы получить DLL-файл для дальнейшего взаимодействия с сервером.

В мае и июле были обнаружены различные версии загрузчика Loki, каждая из которых имела уникальный UUID для идентификации.

В Loki agent отсутствуют возможности туннелирования трафика, и злоумышленники используют сторонние утилиты, такие как ngrok и gTunnel, для доступа к сегментам частной сети.

gTunnel был модифицирован с использованием goReflect для выполнения в памяти, что позволило избежать дисковых механизмов обнаружения.

Более десятка российских компаний стали мишенями Loki, в основном проникая в системы с помощью вложений электронной почты.

Идентификация Loki остается сложной задачей, поскольку злоумышленники адаптируют свои подходы к каждой цели, используя общедоступные утилиты для туннелирования трафика и модификации, такие как goReflect, чтобы избежать обнаружения и идентификации.

#ParsedReport #CompletenessMedium
09-09-2024

Threat Intelligence \| "Border Water Past" in Cyberspace? Analysis of APT-K-UN3 Activities Targeting Chinese Black Market and Users

https://www.ctfiot.com/204392.html

Report completeness: Medium

Actors/Campaigns:
Apt-k-un3
Golden_eyed_dog
Silver_fox

Threats:
Gh0st_rat
Watering_hole_technique
Todesk_tool
Andromeda
Mgh0st
Mimikatz_tool

Victims:
Chinese-speaking users, Gambling practitioners, Fraud practitioners, Black and gray industry personnel

Industry:
Media

Geo:
Myanmar, Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1078, T1080, T1190, T1203

IOCs:
File: 10
Hash: 4
Domain: 3
IP: 4

Soft:
Chrome, LetsVPN, Sogou, WeChat

Algorithms:
xor

Win API:
CheckTokenMembership

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда Knowsec 404 Advanced Threat Intelligence обнаружила целенаправленную кампанию кибератак, приписываемую группе APT-K-UN3, которая была направлена против лиц, говорящих на китайском языке, вовлеченных в азартные игры и мошенничество. Злоумышленники использовали сложные методы, такие как атаки на водопои, фишинговые кампании и распространение в социальных сетях, для распространения своей вредоносной информации, включая модифицированную версию gh0st RAT. APT-K-UN3 продемонстрировал высокий уровень владения китайским языком и использовал различные методы, чтобы избежать обнаружения, включая использование домена законной отечественной технологической компании для вредоносных действий и шифрование шелл-кода для загрузки полезных данных.
-----

Команда Knowsec 404 Advanced Threat Intelligence обнаружила целенаправленные атаки на китайскоязычных пользователей с использованием модифицированной версии gh0st RAT.

Первоначально его приписывали группе APT GoldenEyeDog/Dragon Death, но дальнейший анализ выявил нового участника угроз под названием APT-K-UN3 с уникальными характеристиками и стратегиями.

APT-K-UN3 был нацелен на лиц, вовлеченных в азартные игры и мошенничество в китайскоязычном сообществе, уделяя особое внимание профессионалам низкого уровня в этих отраслях.

Злоумышленники использовали VPN-сервис KuaiLian для атак, нацеленных в первую очередь на китайских пользователей, а также такие инструменты, как toDesk, SunloginClient и sogoupinyin.

APT-K-UN3 продемонстрировал владение китайским языком и знакомство с целевым сообществом, главным образом с теми, кто занимается незаконными азартными играми и мошенничеством.

Используемые методы распространения информации включали в себя подпольные атаки, фишинговые кампании и распространение в социальных сетях, при этом злоумышленники использовали по меньшей мере 50 различных троянских файлов.

Последней полезной нагрузкой был модифицированный троянец gh0st, обладающий продвинутыми навыками кодирования и такими возможностями, как ведение кейлогга и функции дистанционного управления.

Вариант Mgh0st предназначался для установления связи с сервером управления, при этом выбор сервера C2 был указан в главном программном файле.

APT-K-UN3 использовал домен, зарегистрированный на законную отечественную технологическую компанию, для осуществления вредоносных действий, хранил полезную информацию в облачной инфраструктуре компании, чтобы избежать обнаружения, и использовал зашифрованный шеллкод для загрузки полезной информации.

Чтобы повысить видимость в поисковых системах, злоумышленники выдавали себя за VPN-сервис KuaiLian на веб-сайтах, где можно было отдохнуть.

#ParsedReport #CompletenessLow
09-09-2024

APT attack disguised as a paper on Russia-North Korea partnership (Kimsuky)

https://asec.ahnlab.com/ko/83026

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Runkeys_technique

Victims:
Domestic users

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1204, T1059, T1564, T1082

IOCs:
File: 4
Hash: 3

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе атаки advanced persistent threat (APT), нацеленной на отечественных пользователей, которая предполагает использование репозитория Github для распространения вредоносных скриптов и файлов-приманок. Злоумышленник использует многогранный подход, сочетающий технические приемы и элементы социальной инженерии, для компрометации систем и кражи конфиденциальной информации. Изощренность методологии атаки, включая использование Runkey для сохранения данных и манипулирования свойствами файлов, демонстрирует намерение злоумышленника сохранить доступ и избежать обнаружения. Подчеркивается важность упреждающего анализа угроз и мер безопасности для смягчения возможных угроз и защиты от кибершпионажа.
-----

ASEC обнаружила APT-атаку, нацеленную на отечественных пользователей, использующую репозиторий Github для загрузки вредоносных скриптов и файлов-приманок, направленных на кражу пользовательской информации.

Злоумышленник использовал Runkey для сохранения и встроил функции для изменения свойств файлов и разрешений для более сложных атак.

Файлы-приманки включали в себя два документа Word о партнерстве России и Северной Кореи, чтобы заманить жертв к взаимодействию с вредоносным контентом.

Стратегии злоумышленника включали в себя техническую тактику, элементы социальной инженерии и использование широко используемых платформ, таких как Github, чтобы сочетаться с законной деятельностью для повышения эффективности.

Вредоносные скрипты играют решающую роль во взаимодействии с системой жертвы, использовании уязвимостей и извлечении конфиденциальных данных.

Изменяя свойства и разрешения файлов, злоумышленник может избежать обнаружения, повысить привилегии и манипулировать критически важными системными файлами в вредоносных целях.

Сочетание технических возможностей, тактики социальной инженерии и стратегического использования файлов-приманок демонстрирует изощренность и тщательное планирование APT-атаки.

Проактивная разведка и анализ угроз ASEC имеют решающее значение для предотвращения APT-угроз и защиты от утечек данных и кибершпионажа.

#ParsedReport #CompletenessLow
09-09-2024

Librarian Ghouls Engage in Industrial Espionage

https://www.kaspersky.ru/blog/librarian-ghouls-cad-formats/38199/

Report completeness: Low

Actors/Campaigns:
Librarian_ghouls (motivation: cyber_espionage)
Evilnum (motivation: cyber_espionage)

Victims:
Companies involved in design and engineering activities, Research institutes, Enterprises of the rocket, space and aviation industries, Manufacturers of equipment for the gas processing, petrochemical, nuclear power and defense industries, Manufacturers of diving equipment, communication and radar systems, cash register equipment, automotive components, automated process control systems, telecommunications equipment, secure communications equipment, semiconductor devices and power modules

Industry:
Semiconductor_industry, Aerospace, Petroleum, Transport, Nuclear_power, Telco

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566.001, T1071.001, T1081

IOCs:
Domain: 1
File: 7

Soft:
Telegram, SolidWorks, KOMPAS-3D, AutoCAD, CorelCAD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Librarian Ghouls переключила внимание на CAD-файлы, используя последовательные методы распространения вредоносного ПО через вредоносные вложения в электронной почте. Основными целями являются компании, занимающиеся проектированием и разработкой, и рекомендуется использовать решения для фильтрации электронной почты и локальные меры безопасности для защиты от этих угроз.
-----

Librarian Ghouls сосредоточила свое внимание на файлах, относящихся к системам автоматизированного проектирования (CAD). Первоначально известная тем, что рассылала вредоносные электронные письма с вложениями для сбора конфиденциальной информации с компьютеров различных компаний, группа теперь расширила свой интерес к файлам, используемым программным обеспечением для моделирования и разработки промышленных систем.

Несмотря на эти изменения в поведении, методы и инструменты, используемые злоумышленниками, в основном оставались неизменными с июля. Злоумышленники продолжают распространять вредоносное ПО с помощью вредоносных вложений в электронной почте, замаскированных под документы Office. Обычно эти электронные письма содержат темы, связанные с ведением каталогов электронных компонентов или срочными запросами от организаций.

Ранее злоумышленники в основном атаковали офисные документы и данные из мессенджера Telegram. Однако теперь они включили в свою базу данных дополнительные расширения файлов, типичные для узкоспециализированного программного обеспечения. Эти расширения включают файлы из CAD-систем, таких как SolidWorks и KOMPAS-3D, а также универсальных форматов 3D-моделирования, таких как .m3d и .dwg. Также было замечено, что вредоносная программа похищает документы в формате PDF.

Получателями вредоносных электронных писем от библиотекарей-упырей являются в основном компании, занимающиеся проектированием и инжинирингом в различных отраслях промышленности, включая научно-исследовательские институты, аэрокосмические предприятия, производителей оборудования для различных отраслей и поставщиков коммуникационных и полупроводниковых устройств.

Чтобы защитить предприятия от таких вредоносных рассылок, рекомендуется использовать решения для фильтрации электронной почты, чтобы перехватывать потенциальные угрозы до того, как они попадут в почтовые ящики сотрудников. Кроме того, рекомендуется использовать локальные решения безопасности на всех рабочих устройствах с доступом в Интернет, чтобы предотвратить выполнение вредоносного кода и блокировать потенциальные атаки.

Сохраняя бдительность и применяя эти меры безопасности, организации могут лучше защищаться от киберугроз, исходящих от таких групп, как "Библиотечные вурдалаки".

#ParsedReport #CompletenessMedium
09-09-2024

A glimpse into the Quad7 operators next moves and associated botnets

https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets

Report completeness: Medium

Actors/Campaigns:
Bluenoroff

Threats:
Quad7
Upx_tool
Blnwx
Rustbucket

Victims:
Tp-link, Zyxel, Asus, Axentra, D-link, Netgear, Ruckus wireless

Industry:
Iot

Geo:
Morocco, Chinese, California

ChatGPT TTPs:
do not use without manual check
T1078.003, T1190, T1572, T1219, T1095, T1090.002, T1573.001

IOCs:
File: 5
IP: 5
Hash: 21

Soft:
Zyxel, Ruckus

Algorithms:
salsa20

Platforms:
mips, arm

Links:
https://github.com/skywind3000/kcp
https://github.com/skywind3000/kcp/blob/master/README.en.md
https://github.com/cjdelisle/cjdns/blob/master/client/cjdroute2.c
https://github.com/cjdelisle/cjdns/blob/master/doc/Whitepaper.md

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается деятельность операторов Quad7, группы киберугроз, нацеленной на маршрутизаторы SOHO и устройства VPN с использованием множества уязвимостей. Аналитики обнаружили новые промежуточные серверы, определили дополнительные цели, имплантаты и кластеры ботнетов. Операторы совершенствуют свой набор инструментов, внедряя новые бэкдоры и исследуя новые протоколы для повышения скрытности и предотвращения слежки. Обнаружение различных кластеров ботнетов и использование операторами различных бэкдоров, коммуникационных протоколов и тактик демонстрируют их усилия по сохранению скрытности и адаптации, чтобы избежать обнаружения и присвоения информации.
-----

Команда Sekoia TDR обнаружила новые промежуточные серверы, подключенные к операторам Quad7, что привело к выявлению дополнительных целей, имплантатов и кластеров ботнетов, нацеленных на такие бренды, как TP-LINK, Zyxel, Asus, Axentra, D-Link и Netgear, с помощью множества уязвимостей.

Операторы Quad7 расширяют свой набор инструментов, добавляя новый бэкдор под названием UPDTAE, и тестируют обратные оболочки на основе HTTP, чтобы повысить скрытность и избежать отслеживания с помощью операционных блоков ретрансляции (ORB).

Было обнаружено, что пять кластеров входа в систему (alogin, xlogin, axlogin, rlogin и zylogin), подключенных к операторам ботнета Quad7, содержат скомпрометированные устройства, такие как маршрутизаторы TP-Link с открытыми портами TELNET/7777 и 11288.

Новый пример входа в систему под названием rlogin предназначен для беспроводных устройств Ruckus, ботнет которых по состоянию на 26 августа 2024 года состоял из 213 устройств.

Операторы используют файлы bash, такие как fsy.bin и exec.sh, наряду с такими инструментами, как netd binary, для настройки правил брандмауэра, запуска двоичных файлов и создания защищенных коммуникационных туннелей обратно к своим серверам для скрытных операций и предотвращения обнаружения.