Quad7 Botnet
Cybersikkerhedsspecialister har identificeret en kinesisk trusselsaktør, kendt som Storm-0940, der bruger et botnet ved navn Quad7 til at udføre sofistikerede og undvigende adgangskodesprayangreb. Dette botnet, også kaldet CovertNetwork-1658, bruges til at stjæle legitimationsoplysninger fra forskellige Microsoft-kunder. Storm-0940, der har fungeret siden mindst 2021, får førstegangsadgang ved at anvende password-spray og brute-force-teknikker eller ved at målrette mod sårbarheder og fejlkonfigurationer i netværkskantapplikationer og -tjenester.
Indholdsfortegnelse
Angribere angriber adskillige sårbare enheder
Storm-0940 er anerkendt for sit fokus på organisationer i hele Nordamerika og Europa, herunder tænketanke, statslige organer, ngo'er, advokatfirmaer og sektorer inden for forsvarsindustrien.
Quad7-botnettet, også kaldet 7777 eller xlogin, er blevet grundigt undersøgt af forskere. Denne malware har vist et særligt fokus på SOHO-routere og VPN-enheder fra flere kendte mærker, såsom TP-Link, Zyxel, Asus, Axentra, D-Link og NETGEAR.
Disse enheder kompromitteres ved at udnytte både identificerede og potentielt ukendte sikkerhedssårbarheder for at opnå fjernudførelse af kode. Botnettets navn, Quad7, stammer fra det faktum, at de inficerede routere inkluderer en bagdør, der lytter på TCP-port 7777, hvilket muliggør fjernadgang.
Taktik vist af Quad og angribere
Fra september 2024 ser det ud til, at botnettet primært er implementeret til brute-force-angreb på Microsoft 365-konti, med indikationer på, at kinesiske statssponsorerede aktører sandsynligvis står bag disse operationer.
Microsofts vurdering tyder på, at botnettets operatører er baseret i Kina, hvor flere trusselsaktører bruger det til password-spray-angreb for at muliggøre yderligere netværksudnyttelse. Disse opfølgningsaktiviteter omfatter lateral bevægelse, Remote Access Trojan (RAT) implementering og dataeksfiltreringsindsats.
Storm-0940 er blandt dem, der udnytter denne metode. Det fik adgang til målorganisationer ved at bruge gyldige legitimationsoplysninger opnået gennem disse angreb - ofte samme dag, som legitimationsoplysningerne blev kompromitteret. Denne hurtige overgang til målrettet udnyttelse peger på et højt niveau af koordinering mellem botnet-operatørerne og Storm-0940.
I mellemtiden anvender CovertNetwork-1658 en mere tilbageholden tilgang med et lille antal loginforsøg fordelt på flere konti hos en målrettet organisation. I omkring 80 % af tilfældene er aktiviteten begrænset til et enkelt loginforsøg pr. konto hver dag.
Tusindvis af enheder kompromitteret af Quad7
Anslået 8.000 kompromitterede enheder menes at være aktive inden for netværket på ethvert givet tidspunkt, hvor kun omkring 20 procent af disse enheder deltager i password-spray-angreb.
Eksperter har observeret et betydeligt fald i botnet-infrastrukturen efter dens offentlige eksponering, hvilket tyder på, at trusselsaktører kan søge ny infrastruktur med ændrede fingeraftryk for at undgå opdagelse.
Brug af CovertNetwork-1658-infrastrukturen gør det muligt for enhver trusselaktør at lancere adgangskode-spraykampagner i meget større skala, hvilket væsentligt øger chancerne for succesfuldt at kompromittere legitimationsoplysninger og få indledende adgang til adskillige organisationer i løbet af en kort periode.
Denne omfattende rækkevidde, kombineret med den hurtige omsætning af kompromitterede legitimationsoplysninger mellem CovertNetwork-1658 og kinesiske trusselsaktører, øger risikoen for kontokompromiser på tværs af forskellige sektorer og regioner.
Eksperter, der har bemærket afmatningen i botnet-aktivitet, indikerer, at trafikken stadig viser, at Quad7 fortsat er i drift. Det er dog vigtigt at erkende, at dette markante fald i kompromitterede routere kun afspejler synlige brud. Der er en mulighed for, at Quad7-operatører har udviklet metoder til at kompromittere enheder diskret og undgå detektion.
