Quad7 Botnet
Ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν έναν κινέζο παράγοντα απειλών, γνωστό ως Storm-0940, που χρησιμοποιεί ένα botnet που ονομάζεται Quad7 για να διεξάγει εξελιγμένες και αποφυγές επιθέσεων με ψεκασμό κωδικών πρόσβασης. Αυτό το botnet που αναφέρεται επίσης ως CovertNetwork-1658, χρησιμοποιείται για την κλοπή διαπιστευτηρίων από διάφορους πελάτες της Microsoft. Λειτουργώντας τουλάχιστον από το 2021, το Storm-0940 αποκτά αρχική πρόσβαση χρησιμοποιώντας τεχνικές ψεκασμού κωδικού πρόσβασης και ωμής βίας ή στοχεύοντας τρωτά σημεία και εσφαλμένες διαμορφώσεις σε εφαρμογές και υπηρεσίες αιχμής δικτύου.
Πίνακας περιεχομένων
Οι επιτιθέμενοι στοχεύουν πολυάριθμες ευάλωτες συσκευές
Το Storm-0940 αναγνωρίζεται για την εστίασή του σε οργανισμούς σε όλη τη Βόρεια Αμερική και την Ευρώπη, συμπεριλαμβανομένων δεξαμενών σκέψης, κυβερνητικών φορέων, ΜΚΟ, δικηγορικών γραφείων και τομέων της αμυντικής βιομηχανίας.
Το botnet Quad7, που ονομάζεται επίσης 7777 ή xlogin, έχει μελετηθεί διεξοδικά από ερευνητές. Αυτό το κακόβουλο λογισμικό έχει δείξει ιδιαίτερη εστίαση σε δρομολογητές SOHO και συσκευές VPN από πολλές γνωστές μάρκες, όπως TP-Link, Zyxel, Asus, Axentra, D-Link και NETGEAR.
Αυτές οι συσκευές παραβιάζονται εκμεταλλευόμενοι τόσο αναγνωρισμένες όσο και δυνητικά άγνωστες ευπάθειες ασφαλείας για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα. Το όνομα του botnet, Quad7, προέρχεται από το γεγονός ότι οι μολυσμένοι δρομολογητές περιλαμβάνουν μια κερκόπορτα που ακούει στη θύρα TCP 7777, επιτρέποντας την απομακρυσμένη πρόσβαση.
Τακτικές που εμφανίζονται από το Quad & Attackers
Από τον Σεπτέμβριο του 2024, το botnet φαίνεται να έχει αναπτυχθεί κυρίως για επιθέσεις ωμής βίας σε λογαριασμούς Microsoft 365, με ενδείξεις ότι πιθανώς κινεζικοί φορείς που χρηματοδοτούνται από το κράτος βρίσκονται πίσω από αυτές τις λειτουργίες.
Η αξιολόγηση της Microsoft υποδηλώνει ότι οι χειριστές του botnet εδρεύουν στην Κίνα, όπου αρκετοί παράγοντες απειλών το χρησιμοποιούν για επιθέσεις με ψεκασμό κωδικών πρόσβασης για να επιτρέψουν την περαιτέρω εκμετάλλευση του δικτύου. Αυτές οι δραστηριότητες παρακολούθησης περιλαμβάνουν την πλευρική μετακίνηση, την ανάπτυξη του Trojan Remote Access (RAT) και τις προσπάθειες εξαγωγής δεδομένων.
Το Storm-0940 είναι μεταξύ εκείνων που εκμεταλλεύονται αυτή τη μέθοδο. Απέκτησε πρόσβαση σε οργανισμούς-στόχους χρησιμοποιώντας έγκυρα διαπιστευτήρια που αποκτήθηκαν μέσω αυτών των επιθέσεων—συχνά την ίδια ημέρα που τα διαπιστευτήρια παραβιάζονταν. Αυτή η ταχεία μετάβαση σε στοχευμένη εκμετάλλευση δείχνει υψηλό επίπεδο συντονισμού μεταξύ των χειριστών botnet και του Storm-0940.
Εν τω μεταξύ, το CovertNetwork-1658 χρησιμοποιεί μια πιο συγκρατημένη προσέγγιση, με έναν μικρό αριθμό προσπαθειών σύνδεσης που κατανέμονται σε πολλούς λογαριασμούς σε έναν στοχευμένο οργανισμό. Στο 80% περίπου των περιπτώσεων, η δραστηριότητα περιορίζεται σε μία προσπάθεια σύνδεσης ανά λογαριασμό κάθε μέρα.
Χιλιάδες συσκευές σε κίνδυνο από το Quad7
Εκτιμάται ότι 8.000 παραβιασμένες συσκευές πιστεύεται ότι είναι ενεργές εντός του δικτύου ανά πάσα στιγμή, με μόνο το 20% περίπου αυτών των συσκευών να συμμετέχουν σε επιθέσεις ψεκασμού κωδικών πρόσβασης.
Οι ειδικοί παρατήρησαν σημαντική πτώση στην υποδομή botnet μετά τη δημόσια έκθεσή της, υποδηλώνοντας ότι οι φορείς απειλών μπορεί να αναζητούν νέα υποδομή με τροποποιημένα δακτυλικά αποτυπώματα για να αποφύγουν τον εντοπισμό.
Η χρήση της υποδομής CovertNetwork-1658 επιτρέπει σε οποιονδήποτε παράγοντα απειλής να ξεκινήσει εκστρατείες ψεκασμού κωδικών πρόσβασης σε πολύ μεγαλύτερη κλίμακα, αυξάνοντας σημαντικά τις πιθανότητες επιτυχούς συμβιβασμού των διαπιστευτηρίων και την απόκτηση αρχικής πρόσβασης σε πολλούς οργανισμούς σε σύντομο χρονικό διάστημα.
Αυτή η εκτεταμένη εμβέλεια, σε συνδυασμό με τον γρήγορο κύκλο εργασιών παραβιασμένων διαπιστευτηρίων μεταξύ του CovertNetwork-1658 και των κινεζικών φορέων απειλών, αυξάνει τον κίνδυνο παραβιάσεων των λογαριασμών σε διάφορους τομείς και περιοχές.
Οι ειδικοί που παρατήρησαν την επιβράδυνση στη δραστηριότητα του botnet αναφέρουν ότι η κυκλοφορία εξακολουθεί να δείχνει ότι το Quad7 παραμένει λειτουργικό. Ωστόσο, είναι σημαντικό να αναγνωρίσουμε ότι αυτή η αξιοσημείωτη μείωση των παραβιασμένων δρομολογητών αντανακλά μόνο ορατές παραβιάσεις. Υπάρχει πιθανότητα οι χειριστές Quad7 να έχουν αναπτύξει μεθόδους για να παραβιάζουν συσκευές διακριτικά και να αποφεύγουν τον εντοπισμό.
