Quad7 botnet
Els especialistes en ciberseguretat han identificat un actor d'amenaces xinès, conegut com Storm-0940, que utilitza una xarxa de bots anomenada Quad7 per dur a terme atacs sofisticats i evasius de polvorització de contrasenyes. Aquesta botnet també anomenada CovertNetwork-1658, s'utilitza per robar credencials de diversos clients de Microsoft. Funcionant almenys des del 2021, Storm-0940 obté l'accés inicial utilitzant tècniques d'esprai de contrasenyes i força bruta o orientant-se a vulnerabilitats i configuracions incorrectes a les aplicacions i serveis de la vora de la xarxa.
Taula de continguts
Els atacants es dirigeixen a nombrosos dispositius vulnerables
Storm-0940 és reconegut pel seu enfocament en organitzacions d'Amèrica del Nord i Europa, inclosos grups de reflexió, organismes governamentals, ONG, despatxos d'advocats i sectors de la indústria de la defensa.
La botnet Quad7, també anomenada 7777 o xlogin, ha estat estudiada a fons pels investigadors. Aquest programari maliciós ha mostrat un enfocament particular als encaminadors SOHO i als dispositius VPN de diverses marques conegudes, com ara TP-Link, Zyxel, Asus, Axentra, D-Link i NETGEAR.
Aquests dispositius es veuen compromesos aprofitant les vulnerabilitats de seguretat identificades i potencialment desconegudes per aconseguir l'execució de codi remota. El nom de la botnet, Quad7, prové del fet que els encaminadors infectats inclouen una porta posterior que escolta al port TCP 7777, que permet l'accés remot.
Tàctiques mostrades pel Quad i els atacants
A partir del setembre de 2024, sembla que la botnet s'ha desplegat principalment per a atacs de força bruta als comptes de Microsoft 365, amb indicis que probablement hi hagi actors patrocinats per l'estat xinesos darrere d'aquestes operacions.
L'avaluació de Microsoft suggereix que els operadors de la botnet tenen la seva seu a la Xina, on diversos actors d'amenaces l'utilitzen per a atacs de contrasenya per permetre una major explotació de la xarxa. Aquestes activitats de seguiment inclouen el moviment lateral, el desplegament de Trojans d'accés remot (RAT) i els esforços d'exfiltració de dades.
Storm-0940 és un dels que utilitzen aquest mètode. Va obtenir accés a les organitzacions objectiu mitjançant l'ús de credencials vàlides obtingudes mitjançant aquests atacs, sovint el mateix dia que les credencials estaven compromeses. Aquesta ràpida transició cap a l'explotació dirigida apunta a un alt nivell de coordinació entre els operadors de botnets i Storm-0940.
Mentrestant, CovertNetwork-1658 utilitza un enfocament més limitat, amb un petit nombre d'intents d'inici de sessió distribuïts en diversos comptes d'una organització específica. En aproximadament el 80% dels casos, l'activitat es limita a un sol intent d'inici de sessió per compte cada dia.
Milers de dispositius compromesos per Quad7
Es calcula que uns 8.000 dispositius compromesos estan actius a la xarxa en un moment donat, amb només un 20 per cent d'aquests dispositius participant en atacs amb contrasenya.
Els experts han observat una disminució significativa de la infraestructura de la botnet després de la seva exposició pública, cosa que suggereix que els actors de les amenaces poden estar buscant una nova infraestructura amb empremtes digitals alterades per evitar la detecció.
L'ús de la infraestructura CovertNetwork-1658 permet a qualsevol actor d'amenaces llançar campanyes de polvorització de contrasenyes a una escala molt més gran, millorant significativament les possibilitats de comprometre amb èxit les credencials i obtenir accés inicial a nombroses organitzacions en un període curt.
Aquest ampli abast, juntament amb la ràpida rotació de credencials compromeses entre CovertNetwork-1658 i els actors d'amenaça xinesos, augmenta el risc de compromisos de comptes en diversos sectors i regions.
Els experts que han observat la desacceleració de l'activitat de les botnets indiquen que el trànsit encara mostra que Quad7 continua operatiu. Tanmateix, és essencial reconèixer que aquesta notable disminució dels encaminadors compromesos només reflecteix infraccions visibles. Hi ha la possibilitat que els operadors Quad7 hagin desenvolupat mètodes per comprometre els dispositius de manera discreta i evitar la detecció.
