TP-Linkルータに加え、ASUSやRuckusのルータもサイバー攻撃の標的

画像提供：マイナビニュース

セキュリティ企業のSekoiaは9月9日(現地時間)、「A glimpse into the Quad7 operators' next moves and associated botnets」において、TP-Linkのルータを標的にするボットネット「Quad7」がASUSのルータ、ZyxelのVPNアプライアンス、Ruckusの無線LANルータ、Axentraのメディアサーバを新たな標的に加えたと伝えた。

○ボットネット「Quad7」の正体

ボットネット「Quad7」はセキュリティ研究者のGi7w0rm氏およびDunstable Toblerone氏により発見された。両氏は2023年10月に、Mediumに調査結果を投稿している(参考：「The curious case of the 7777-Botnet | by Gi7w0rm | Medium」)。

調査結果によると、このボットネットは感染したデバイスのポート7777を開き、Telnetのログインメッセージに見える「xlogin:」を応答する特徴があるという。この特徴から「Quad7」と呼ばれる。ボットネットは週に2、3回程度、小規模な攻撃に悪用されたと推測されているが、Gi7w0rm氏はその後の調査に失敗しており、詳細は明らかになっていない。

発見当初はTP-Linkの無線LANルータ「TL-WR841N」を主な感染先にしていたことが確認されている。Sekoiaの調査によると、感染デバイスの地理的な分布には偏りがあり、ブルガリアが最も多く、ロシア、米国、ウクライナがこれに続くとされる。

Sekoiaはその後の調査でASUSのルータに感染し、TCPポート63256を開いて「alogin:」を応答するボットネットを発見している。このボットネットはQuad7と管理サーバを共有しており、同じ脅威グループに属すると評価されている。

他にも、Ruckusのルータに感染し「rlogin:」を応答するボットネット、Axentraメディアサーバに感染し「axlogin:」を応答するボットネット、Zyxel VPNアプライアンスに感染し「zylogin:」を応答するボットネットが発見されている。これらもQuad7と同じ脅威グループに属するボットネットと評価されている。
○戦術の進化

Sekoiaの調査によると、Quad7は通信方法と戦術を大幅に進化させたという。従来は攻撃制御の通信にSOCKSプロキシを使用していたが、KCPプロトコルを使用した検出困難な「FsyNet」に移行中とされる。

また、バックドア「UPDTAE(UPDATEのタイプミスとみられる)」の存在も確認された。脅威グループのオペレーターによって現在テスト中とみられるこのバックドアは、HTTPプロトコルを使用したリバースシェルとされる。感染デバイスにログインインタフェースがない場合に使用すると推測されている。
○対策

SekoiaはQuad7を検出するYaraルールおよびSuricataルールを公開した。また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)も公開しており、必要に応じてこれらを活用することが望まれている。
（後藤大地）