Quad7 ботнет
Специалисти по киберсигурност са идентифицирали китайски заплаха, известен като Storm-0940, използващ ботнет на име Quad7 за извършване на сложни и уклончиви атаки с парола. Този ботнет, наричан още CovertNetwork-1658, се използва за кражба на идентификационни данни от различни клиенти на Microsoft. Работейки най-малко от 2021 г., Storm-0940 получава първоначален достъп чрез използване на техники за разпръскване на пароли и груба сила или чрез насочване към уязвимости и неправилни конфигурации в мрежови крайни приложения и услуги.
Съдържание
Нападателите са насочени към множество уязвими устройства
Storm-0940 е признат за фокуса си върху организации в Северна Америка и Европа, включително мозъчни тръстове, правителствени органи, НПО, адвокатски кантори и сектори в рамките на отбранителната индустрия.
Ботнетът Quad7, наричан още 7777 или xlogin, е подробно проучен от изследователи. Този злонамерен софтуер е показал особен фокус върху SOHO рутери и VPN устройства от няколко добре известни марки, като TP-Link, Zyxel, Asus, Axentra, D-Link и NETGEAR.
Тези устройства са компрометирани, като се възползват както от идентифицирани, така и от потенциално неизвестни уязвимости в сигурността, за да постигнат отдалечено изпълнение на код. Името на ботнета, Quad7, произтича от факта, че заразените рутери включват задна врата, която слуша TCP порт 7777, позволявайки отдалечен достъп.
Тактики, показвани от четворката и нападателите
Към септември 2024 г. изглежда, че ботнетът е разгърнат предимно за атаки с груба сила на акаунти в Microsoft 365, с индикации, че зад тези операции вероятно стоят субекти, спонсорирани от китайската държава.
Оценката на Microsoft предполага, че операторите на ботнета са базирани в Китай, където няколко заплахи го използват за атаки с пръскане на пароли, за да позволят по-нататъшно използване на мрежата. Тези последващи дейности включват странично движение, внедряване на троянски кон за отдалечен достъп (RAT) и усилия за ексфилтриране на данни.
Storm-0940 е сред тези, които използват този метод. Той получава достъп до целеви организации, като използва валидни идентификационни данни, получени чрез тези атаки – често в същия ден, когато идентификационните данни са били компрометирани. Този бърз преход към целенасочена експлоатация сочи високо ниво на координация между ботнет операторите и Storm-0940.
Междувременно CovertNetwork-1658 използва по-сдържан подход, с малък брой опити за влизане, разпределени между множество акаунти в целева организация. В приблизително 80% от случаите активността е ограничена до един опит за влизане на акаунт всеки ден.
Хиляди устройства, компрометирани от Quad7
Смята се, че около 8000 компрометирани устройства са активни в мрежата във всеки един момент, като само около 20 процента от тези устройства участват в атаки с пръскане на пароли.
Експертите са наблюдавали значителен спад в ботнет инфраструктурата след нейното публично излагане, което предполага, че участниците в заплахата може да търсят нова инфраструктура с променени пръстови отпечатъци, за да избегнат откриването.
Използването на инфраструктурата CovertNetwork-1658 позволява на всеки заплаха да стартира кампании за пръскане на пароли в много по-голям мащаб, като значително повишава шансовете за успешно компрометиране на идентификационни данни и получаване на първоначален достъп до множество организации за кратък период от време.
Този обширен обхват, съчетан с бързия обмен на компрометирани идентификационни данни между CovertNetwork-1658 и китайски заплахи, повишава риска от компрометиране на акаунти в различни сектори и региони.
Експертите, които са забелязали забавянето на активността на ботнет, показват, че трафикът все още показва, че Quad7 продължава да работи. Важно е обаче да се признае, че това значително намаляване на компрометираните рутери отразява само видими нарушения. Има възможност операторите на Quad7 да са разработили методи за дискретно компрометиране на устройства и избягване на откриване.
