Botnet Quad7
Specialisté na kybernetickou bezpečnost identifikovali čínského aktéra hrozeb známého jako Storm-0940, který využívá botnet s názvem Quad7 k provádění sofistikovaných a vyhýbavých útoků sprejem hesel. Tento botnet označovaný také jako CovertNetwork-1658 se používá ke krádeži přihlašovacích údajů od různých zákazníků společnosti Microsoft. Storm-0940, který funguje minimálně od roku 2021, získává počáteční přístup pomocí sprejování hesel a technik hrubé síly nebo zacílením na zranitelná místa a nesprávné konfigurace v aplikacích a službách na okraji sítě.
Obsah
Útočníci se zaměřují na četná zranitelná zařízení
Storm-0940 je uznáván pro své zaměření na organizace v Severní Americe a Evropě, včetně think-tanků, vládních orgánů, nevládních organizací, právnických firem a sektorů v rámci obranného průmyslu.
Botnet Quad7, nazývaný také 7777 nebo xlogin, byl výzkumníky důkladně prozkoumán. Tento malware ukázal zvláštní zaměření na SOHO routery a VPN zařízení od několika známých značek, jako jsou TP-Link, Zyxel, Asus, Axentra, D-Link a NETGEAR.
Tato zařízení jsou kompromitována využitím jak identifikovaných, tak potenciálně neznámých slabých míst zabezpečení k dosažení vzdáleného spuštění kódu. Název botnetu Quad7 vychází ze skutečnosti, že infikované routery obsahují zadní vrátka, která naslouchá na TCP portu 7777 a umožňuje vzdálený přístup.
Taktika zobrazená čtyřkou a útočníky
Od září 2024 se zdá, že botnet je primárně nasazen pro útoky hrubou silou na účty Microsoft 365, což naznačuje, že za těmito operacemi jsou pravděpodobně aktéři sponzorovaní čínským státem.
Hodnocení Microsoftu naznačuje, že operátoři botnetu sídlí v Číně, kde jej několik aktérů hrozeb využívá k útokům sprejem hesel, aby umožnili další zneužití sítě. Tyto následné aktivity zahrnují pohyb do stran, nasazení trojského koně pro vzdálený přístup (RAT) a úsilí o exfiltraci dat.
Storm-0940 je jedním z těch, kteří využívají tuto metodu. Získal přístup k cílovým organizacím pomocí platných přihlašovacích údajů získaných prostřednictvím těchto útoků – často ve stejný den, kdy byly přihlašovací údaje prozrazeny. Tento rychlý přechod k cílenému využívání ukazuje na vysokou úroveň koordinace mezi provozovateli botnetů a Storm-0940.
Mezitím CovertNetwork-1658 využívá zdrženlivější přístup s malým počtem pokusů o přihlášení distribuovaných přes více účtů v cílové organizaci. Zhruba v 80 % případů je aktivita omezena na jeden pokus o přihlášení na účet každý den.
Tisíce zařízení kompromitováno Quad7
Odhaduje se, že v daný okamžik je v síti aktivních 8 000 kompromitovaných zařízení, přičemž pouze asi 20 procent z těchto zařízení se účastní útoků se sprejováním hesel.
Odborníci pozorovali výrazný pokles infrastruktury botnetu po jeho odhalení veřejnosti, což naznačuje, že aktéři hrozeb mohou hledat novou infrastrukturu se změněnými otisky prstů, aby se vyhnuli odhalení.
Využití infrastruktury CovertNetwork-1658 umožňuje jakémukoli aktérovi hrozeb zahájit kampaně se sprejováním hesel v mnohem větším měřítku, což výrazně zvyšuje šance na úspěšné kompromitování přihlašovacích údajů a získání počátečního přístupu k mnoha organizacím v krátké době.
Tento rozsáhlý dosah spolu s rychlým obratem kompromitovaných přihlašovacích údajů mezi CovertNetwork-1658 a čínskými aktéry hrozeb zvyšuje riziko kompromitace účtů v různých sektorech a regionech.
Odborníci, kteří zaznamenali zpomalení aktivity botnetů, naznačují, že provoz stále ukazuje, že Quad7 zůstává funkční. Je však nezbytné si uvědomit, že tento výrazný pokles ohrožených směrovačů odráží pouze viditelná porušení. Existuje možnost, že operátoři Quad7 vyvinuli metody, jak diskrétně kompromitovat zařízení a vyhnout se detekci.
