Ботнет "7777" был впервые обнаружен в октябре 2023 года. Изначально он был описан как ботнет с примерно 10 000 узлами, активно атакующий инстансы Microsoft Azure. Однако позднее исследование показало, что атаки не имели четкой целевой направленности. Ботнет получил название "7777" из-за открытого TCP-порта 7777 на зараженных маршрутизаторах. В настоящее время ботнет продолжает активную деятельность и поддерживает значительное количество ботов, преимущественно на устройствах Hikvision и TP-Link.
7777 Botnet
Проследив за данными сканирования, удалось идентифицировать более 7000 устройств, связанных с ботнетом "7777". Однако эти данные не отражают полную картину, поскольку не все устройства, находящиеся в режиме "онлайн", могут быть обнаружены таким образом. Возможно, что первоначальные результаты были получены за более длительный период или на основе данных сканирования, проведенных в более короткие промежутки времени. Также есть вероятность, что пользователи приняли меры по очистке от инфекций и обновлению прошивок, чтобы защитить свои маршрутизаторы.
Изучение данных также показало, что часть устройств, связанных с ботнетом, являются маршрутизаторами TP-Link и Hikvision. Это позволяет понять, как ботнет распространяется и помогает в поиске потенциально уязвимых объектов инфраструктуры для предотвращения будущих атак. Кроме того, обнаружено, что на некоторых хостах в ботнете открыт также порт 11288, на котором настроен прокси-сервис SOCKS5. Эта активность связана с прокси-сервером SOCKS5 с открытым исходным кодом, разработанным в Китае.
Таким образом, ботнет "7777" продолжает активную деятельность и имеет значительное количество зараженных устройств, в основном маршрутизаторы Hikvision и TP-Link. Более подробные исследования позволили определить характеристики устройств и их связь с прокси-сервером SOCKS5. Тем не менее, по-прежнему остается много тайны вокруг истинных операторов ботнета и связанных с ними действий, таких как атаки грубой силы.
Indicators of Compromise
IPv4 Port Combinations
- 104.168.152.139:11288
- 142.11.205.164:11288
- 151.236.20.185:11288
- 151.236.20.185:7777
- 151.236.20.211:11288
- 151.236.20.211:63256
- 151.236.20.211:63260
- 23.227.196.73:11288
- 23.254.201.175:11288
- 23.254.209.118:11288