Quad7 botnet
Stručnjaci za kibernetičku sigurnost identificirali su kineskog aktera prijetnje, poznatog kao Storm-0940, koji koristi botnet pod nazivom Quad7 za provođenje sofisticiranih i izbjegavajućih napada lozinkom. Ovaj botnet koji se također naziva CovertNetwork-1658 koristi se za krađu vjerodajnica od raznih Microsoftovih klijenata. Djelujući barem od 2021., Storm-0940 dobiva početni pristup upotrebom tehnika spreja lozinki i grube sile ili ciljanjem na ranjivosti i pogrešne konfiguracije u mrežnim rubnim aplikacijama i uslugama.
Sadržaj
Napadači ciljaju na brojne ranjive uređaje
Storm-0940 je poznat po svojoj usmjerenosti na organizacije diljem Sjeverne Amerike i Europe, uključujući think tankove, vladina tijela, nevladine organizacije, odvjetničke tvrtke i sektore unutar obrambene industrije.
Quad7 botnet, također nazvan 7777 ili xlogin, istraživači su temeljito proučili. Ovaj malware pokazao je poseban fokus na SOHO usmjerivače i VPN uređaje nekoliko poznatih marki, kao što su TP-Link, Zyxel, Asus, Axentra, D-Link i NETGEAR.
Ti su uređaji ugroženi iskorištavanjem identificiranih i potencijalno nepoznatih sigurnosnih propusta za postizanje daljinskog izvršenja koda. Naziv botneta, Quad7, proizlazi iz činjenice da zaraženi usmjerivači uključuju stražnja vrata koja slušaju TCP port 7777, omogućujući udaljeni pristup.
Taktika prikazana od strane četvorke i napadača
Od rujna 2024. čini se da je botnet primarno raspoređen za napade brutalnom silom na Microsoft 365 račune, s naznakama da iza ovih operacija vjerojatno stoje akteri koje sponzorira kineska država.
Microsoftova procjena sugerira da se operateri botneta nalaze u Kini, gdje ga nekoliko aktera prijetnji koristi za napade lozinkom kako bi omogućili daljnje iskorištavanje mreže. Ove naknadne aktivnosti uključuju bočno kretanje, implementaciju Trojanaca s daljinskim pristupom (RAT) i pokušaje eksfiltracije podataka.
Storm-0940 je među onima koji iskorištavaju ovu metodu. Dobio je pristup ciljanim organizacijama korištenjem važećih vjerodajnica dobivenih tim napadima—često na isti dan kada su vjerodajnice bile ugrožene. Ovaj brzi prijelaz na ciljano iskorištavanje ukazuje na visoku razinu koordinacije između botnet operatera i Storm-0940.
U međuvremenu, CovertNetwork-1658 koristi suzdržaniji pristup, s malim brojem pokušaja prijave raspoređenih na više računa u ciljanoj organizaciji. U otprilike 80% slučajeva aktivnost je ograničena na jedan pokušaj prijave po računu svaki dan.
Quad7 ugrozio tisuće uređaja
Vjeruje se da je oko 8000 kompromitiranih uređaja aktivno unutar mreže u bilo kojem trenutku, a samo oko 20 posto tih uređaja sudjeluje u napadima raspršivanjem lozinki.
Stručnjaci su primijetili značajan pad u botnet infrastrukturi nakon njenog izlaganja javnosti, što sugerira da akteri prijetnji možda traže novu infrastrukturu s izmijenjenim otiscima prstiju kako bi izbjegli otkrivanje.
Korištenje infrastrukture CovertNetwork-1658 omogućuje bilo kojem akteru prijetnje da pokrene kampanje raspršivanja lozinki u mnogo većoj mjeri, značajno povećavajući šanse za uspješnu kompromitaciju vjerodajnica i dobivanje početnog pristupa brojnim organizacijama u kratkom razdoblju.
Ovaj opsežni doseg, zajedno s brzom razmjenom kompromitiranih vjerodajnica između CovertNetwork-1658 i kineskih aktera prijetnji, povećava rizik od kompromitiranja računa u različitim sektorima i regijama.
Stručnjaci koji su primijetili usporavanje botnet aktivnosti pokazuju da promet još uvijek pokazuje da Quad7 ostaje operativan. Međutim, važno je prepoznati da ovaj značajan pad u kompromitiranim usmjerivačima samo odražava vidljiva kršenja. Postoji mogućnost da su operateri Quad7 razvili metode za diskretno kompromitiranje uređaja i izbjegavanje otkrivanja.
