บอตเน็ต Quad7 กำหนดเป้าหมายเราเตอร์ SOHO และ media servers มากขึ้น

317/67 (IT) ประจำวันพุธที่ 11 กันยายน 2567

รายงานล่าสุดจาก Sekoia เปิดเผยถึงการพัฒนาของบอตเน็ต Quad7 ที่กำลังมุ่งโจมตีอุปกรณ์สำนักงานขนาดเล็กและบ้าน (small office/home office : SOHO) โดยเฉพาะอุปกรณ์ที่ใช้ Zyxel VPN เราเตอร์ไร้สาย Ruckus และ media servers Axentra รวมถึงเราเตอร์ TP-Link และ ASUS โดยการโจมตีนี้ มีเป้าหมายผ่านพอร์ต Telnet ที่เปิดอยู่บนอุปกรณ์เหล่านี้ ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงได้ง่าย โดยบอตเน็ต Quad7 แสดงถึงวิวัฒนาการด้านการสื่อสารและกลยุทธ์ใหม่ ด้วยการยกเลิกการใช้พร็อกซี SOCKS ที่ใช้ในเวอร์ชันก่อนหน้าและหันมาใช้โปรโตคอล KCP และเครื่องมือใหม่อย่าง FsyNet ที่สื่อสารผ่าน UDP เพื่อหลบเลี่ยงการตรวจจับ

บอตเน็ต Quad7 ประกอบด้วยกลุ่มย่อยหลายกลุ่มที่ระบุว่าเป็นตัวแปรของ *login โดยแต่ละกลุ่มกำหนดเป้าหมายไปที่อุปกรณ์เฉพาะและแสดงแบนเนอร์ต้อนรับที่แตกต่างกันเมื่อทำการเชื่อมต่อกับพอร์ต Telnet บอตเน็ตนี้ถูกพบในหลายอุปกรณ์ เช่น:

– xlogin: เราเตอร์ TP-Link (พอร์ต TCP 7777)

– alogin: เราเตอร์ ASUS (พอร์ต TCP 63256)

– rlogin: อุปกรณ์ไร้สาย Ruckus (พอร์ต TCP 63210)

– zylogin: Zyxel VPN (พอร์ต TCP 3256)    

แม้ว่าบางกลุ่มจะมีการแพร่ระบาดไม่มากนัก เช่น rlogin ที่มีผู้ติดเชื้อเพียง 298 ราย และ zylogin ที่มีเพียง 2 ราย แต่กลุ่มที่ใหญ่กว่าอย่าง xlogin และ alogin อาจส่งผลกระทบต่ออุปกรณ์นับพันได้ ดังนั้น เพื่อป้องกันความเสี่ยงจากบอตเน็ต ผู้ใช้ควรอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุด เปลี่ยนรหัสผ่านเริ่มต้นให้เป็นรหัสที่แข็งแรง และปิดการใช้งานพอร์ทัลผู้ดูแลระบบเว็บหากไม่จำเป็น เพื่อป้องกันการโจมตีในอนาคต

แหล่งข่าว https://www.bleepingcomputer.com/news/security/quad7-botnet-targets-more-soho-and-vpn-routers-media-servers/