بات نت Quad7

متخصصان امنیت سایبری یک عامل تهدید چینی به نام Storm-0940 را شناسایی کرده اند که از یک بات نت به نام Quad7 برای انجام حملات اسپری رمز عبور پیچیده و فراری استفاده می کند. این بات‌نت که به آن CovertNetwork-1658 نیز گفته می‌شود، برای سرقت اعتبار از مشتریان مختلف مایکروسافت استفاده می‌شود. Storm-0940 که حداقل از سال 2021 کار می‌کند، با استفاده از تکنیک‌های اسپری رمز عبور و brute-force یا با هدف قرار دادن آسیب‌پذیری‌ها و پیکربندی‌های نادرست در برنامه‌ها و سرویس‌های لبه شبکه، دسترسی اولیه را به دست می‌آورد.

مهاجمان دستگاه های آسیب پذیر متعددی را هدف قرار می دهند

Storm-0940 به دلیل تمرکز بر سازمان‌ها در سراسر آمریکای شمالی و اروپا، از جمله اتاق‌های فکر، نهادهای دولتی، سازمان‌های غیردولتی، شرکت‌های حقوقی، و بخش‌هایی در صنعت دفاعی شناخته شده است.

بات نت Quad7 که 7777 یا xlogin نیز نامیده می شود، توسط محققان به طور کامل مورد مطالعه قرار گرفته است. این بدافزار تمرکز ویژه‌ای روی روترهای SOHO و دستگاه‌های VPN از چندین برند معروف مانند TP-Link، Zyxel، Asus، Axentra، D-Link و NETGEAR نشان داده است.

این دستگاه‌ها با بهره‌گیری از آسیب‌پذیری‌های امنیتی شناسایی شده و بالقوه ناشناخته برای دستیابی به اجرای کد از راه دور به خطر می‌افتند. نام بات‌نت، Quad7، از این واقعیت ناشی می‌شود که روترهای آلوده دارای یک درب پشتی هستند که به پورت TCP 7777 گوش می‌دهد و دسترسی از راه دور را امکان‌پذیر می‌کند.

تاکتیک های نمایش داده شده توسط چهار و مهاجمان

از سپتامبر 2024، به نظر می‌رسد این بات‌نت عمدتاً برای حملات خشونت‌آمیز به حساب‌های مایکروسافت 365 مستقر شده است، با نشانه‌هایی مبنی بر اینکه احتمالاً بازیگران تحت حمایت دولت چین پشت این عملیات هستند.

ارزیابی مایکروسافت نشان می دهد که اپراتورهای بات نت در چین مستقر هستند، جایی که چندین عامل تهدید از آن برای حملات اسپری رمز عبور استفاده می کنند تا امکان بهره برداری بیشتر از شبکه را فراهم کنند. این فعالیت‌های بعدی شامل حرکت جانبی، استقرار تروجان دسترسی از راه دور (RAT) و تلاش‌های استخراج داده است.

Storm-0940 از جمله کسانی است که از این روش استفاده می کند. با استفاده از اعتبارنامه‌های معتبر به‌دست‌آمده از این حملات - اغلب در همان روزی که اعتبارنامه‌ها در معرض خطر قرار می‌گرفتند، به سازمان‌های هدف دسترسی پیدا کرد. این انتقال سریع به بهره برداری هدفمند به سطح بالایی از هماهنگی بین اپراتورهای بات نت و Storm-0940 اشاره دارد.

در همین حال، CovertNetwork-1658 از یک رویکرد محدودتر استفاده می کند، با تعداد کمی از تلاش های ورود به سیستم که در چندین حساب در یک سازمان هدف توزیع شده است. تقریباً در 80٪ موارد، فعالیت به یک بار ورود به سیستم در هر حساب در هر روز محدود می شود.

هزاران دستگاه به خطر افتاده توسط Quad7

تخمین زده می شود که حدود 8000 دستگاه در معرض خطر در هر لحظه در شبکه فعال هستند، که تنها حدود 20 درصد از این دستگاه ها در حملات پاشش رمز عبور شرکت می کنند.

کارشناسان کاهش قابل توجهی را در زیرساخت بات‌نت پس از قرار گرفتن در معرض عموم مشاهده کرده‌اند که نشان می‌دهد عوامل تهدید ممکن است به دنبال زیرساخت‌های جدید با اثر انگشت تغییر یافته برای جلوگیری از شناسایی باشند.

استفاده از زیرساخت CovertNetwork-1658 هر عامل تهدیدی را قادر می‌سازد تا کمپین‌های پاشش رمز عبور را در مقیاسی بسیار بزرگ‌تر راه‌اندازی کند، که به‌طور قابل‌توجهی شانس به خطر انداختن موفقیت‌آمیز اعتبار و دسترسی اولیه به سازمان‌های متعدد را در مدت کوتاهی افزایش می‌دهد.

این دسترسی گسترده، همراه با گردش سریع اعتبارنامه های به خطر افتاده بین CovertNetwork-1658 و بازیگران تهدید چینی، خطر به خطر افتادن حساب ها را در بخش ها و مناطق مختلف افزایش می دهد.

کارشناسانی که به کاهش سرعت فعالیت بات‌نت اشاره کرده‌اند، نشان می‌دهند که ترافیک همچنان نشان می‌دهد که Quad7 همچنان عملیاتی است. با این حال، تشخیص این نکته ضروری است که این کاهش قابل توجه در روترهای در معرض خطر، تنها منعکس کننده رخنه های قابل مشاهده است. این احتمال وجود دارد که اپراتورهای Quad7 روش هایی را برای به خطر انداختن محتاطانه دستگاه ها و اجتناب از شناسایی توسعه داده باشند.