Quad7 robotvõrk
Küberjulgeoleku spetsialistid on tuvastanud Hiina ohutegija, tuntud kui Storm-0940, kes kasutab Quad7-nimelist botnetti keerukate ja vältimatute paroolipihustusrünnakute läbiviimiseks. Seda robotvõrku, mida nimetatakse ka CovertNetwork-1658-ks, kasutatakse erinevatelt Microsofti klientidelt mandaatide varastamiseks. Vähemalt alates 2021. aastast tegutsenud Storm-0940 saab esialgse juurdepääsu, kasutades paroolipritsimise ja jõhkra jõu tehnikaid või sihib haavatavusi ja väärkonfiguratsioone võrgu servarakendustes ja teenustes.
Sisukord
Ründajad sihivad paljusid haavatavaid seadmeid
Storm-0940 on tunnustatud selle keskendumise eest organisatsioonidele kogu Põhja-Ameerikas ja Euroopas, sealhulgas mõttekojad, valitsusasutused, valitsusvälised organisatsioonid, advokaadibürood ja kaitsetööstuse sektorid.
Quad7 botnetti, mida nimetatakse ka 7777-ks või xloginiks, on teadlased põhjalikult uurinud. See pahavara on näidanud erilist tähelepanu mitmete tuntud kaubamärkide SOHO ruuteritele ja VPN-seadmetele, nagu TP-Link, Zyxel, Asus, Axentra, D-Link ja NETGEAR.
Need seadmed on ohustatud nii tuvastatud kui ka potentsiaalselt tundmatute turvanõrkuste ärakasutamise teel koodi kaugkäivitamiseks. Botivõrgu nimi Quad7 tuleneb asjaolust, et nakatunud ruuteritel on tagauks, mis kuulab TCP-porti 7777, võimaldades kaugjuurdepääsu.
Neliku ja ründajate kuvatud taktikad
2024. aasta septembri seisuga näib, et botnet kasutati peamiselt Microsoft 365 kontode jõhkrate rünnakute jaoks, mis viitab sellele, et nende toimingute taga on tõenäoliselt Hiina riiklikult toetatud osalejad.
Microsofti hinnang viitab sellele, et botneti operaatorid asuvad Hiinas, kus mitmed ohus osalejad kasutavad seda paroolide pihustamise rünnakuteks, et võimaldada võrgu edasist ärakasutamist. Need järelmeetmed hõlmavad külgsuunalist liikumist, kaugjuurdepääsu Trooja (RAT) juurutamist ja andmete väljafiltreerimist.
Storm-0940 on üks neist, kes seda meetodit kasutavad. See sai juurdepääsu sihtorganisatsioonidele, kasutades nende rünnete kaudu saadud kehtivaid mandaate – sageli samal päeval, kui mandaadid rikuti. See kiire üleminek sihipärasele kasutamisele viitab botnetioperaatorite ja Storm-0940 vahelisele kõrgele koordineerimisele.
Samal ajal kasutab CovertNetwork-1658 vaoshoitumat lähenemist, vähesel arvul sisselogimiskatseid jaotatakse sihtorganisatsiooni mitme konto vahel. Ligikaudu 80% juhtudest piirdub tegevus ühe konto kohta iga päev ühe sisselogimiskatsega.
Tuhanded seadmed on Quad7 poolt ohustatud
Arvatakse, et igal ajahetkel on võrgus aktiivsed hinnanguliselt 8000 ohustatud seadet, kusjuures ainult umbes 20 protsenti neist seadmetest osaleb paroolide pihustamise rünnakutes.
Eksperdid on täheldanud botneti infrastruktuuri märkimisväärset langust pärast selle avalikkust, mis viitab sellele, et ohus osalejad võivad avastamise vältimiseks otsida uut infrastruktuuri muudetud sõrmejälgedega.
CovertNetwork-1658 infrastruktuuri kasutamine võimaldab igal ohus osalejal käivitada paroolide pihustamise kampaaniaid palju suuremas mahus, suurendades oluliselt võimalusi mandaatides edukalt kahjustada ja saada lühikese aja jooksul esmane juurdepääs paljudele organisatsioonidele.
See ulatuslik haare koos ohustatud volikirjade kiire käibega CovertNetwork-1658 ja Hiina ohus osalejate vahel suurendab kontode ohtu sattumise ohtu erinevates sektorites ja piirkondades.
Eksperdid, kes on märganud botneti aktiivsuse aeglustumist, näitavad, et liiklus näitab endiselt, et Quad7 on endiselt töökorras. Siiski on oluline mõista, et see ohustatud ruuterite arvu märkimisväärne vähenemine peegeldab ainult nähtavaid rikkumisi. On võimalus, et Quad7 operaatorid on välja töötanud meetodid seadmete diskreetseks kompromiteerimiseks ja tuvastamise vältimiseks.
