Quad7 botnet
A kiberbiztonsági szakértők azonosítottak egy kínai fenyegetőzőt, a Storm-0940-et, aki a Quad7 nevű botnetet használja kifinomult és kitérő jelszószóró támadások végrehajtására. Ezt a CovertNetwork-1658 néven is emlegetett botnetet arra használják, hogy különböző Microsoft-ügyfelektől hitelesítő adatokat lopjanak el. A legalább 2021 óta üzemelő Storm-0940 kezdeti hozzáférést kap jelszószóró és brute-force technikák alkalmazásával, vagy a hálózati szélső alkalmazások és szolgáltatások sebezhetőségeinek és hibás konfigurációinak megcélzásával.
Tartalomjegyzék
A támadók számos sebezhető eszközt céloznak meg
A Storm-0940 elismert, hogy Észak-Amerikában és Európában olyan szervezetekre összpontosít, mint agytrösztök, kormányzati szervek, nem kormányzati szervezetek, ügyvédi irodák és a védelmi ipar ágazatai.
A Quad7 botnetet, amelyet 7777-nek vagy xloginnak is hívnak, alaposan tanulmányozták a kutatók. Ez a kártevő különösen nagy hangsúlyt fektet számos jól ismert márka SOHO útválasztóira és VPN-eszközeire, mint például a TP-Link, a Zyxel, az Asus, az Axentra, a D-Link és a NETGEAR.
Ezeket az eszközöket az azonosított és a potenciálisan ismeretlen biztonsági résekből egyaránt kiaknázva veszélyezteti a kód távoli végrehajtása. A botnet Quad7 neve onnan ered, hogy a fertőzött útválasztók tartalmaznak egy hátsó ajtót, amely a 7777-es TCP-porton figyel, lehetővé téve a távoli hozzáférést.
A négyes és a támadók által megjelenített taktika
2024 szeptemberétől úgy tűnik, hogy a botnetet elsősorban a Microsoft 365-fiókok elleni brute force támadásokra telepítették, és a jelek szerint kínai államilag támogatott szereplők állnak e műveletek hátterében.
A Microsoft értékelése azt sugallja, hogy a botnet üzemeltetői Kínában találhatók, ahol számos fenyegető szereplő jelszószóró támadásokhoz használja fel, hogy lehetővé tegye a hálózat további kihasználását. Ezek a nyomon követési tevékenységek magukban foglalják az oldalirányú mozgást, a Remote Access Trojan (RAT) telepítését és az adatok kiszűrését.
A Storm-0940 egyike azoknak, akik ezt a módszert használják. A támadások során megszerzett érvényes hitelesítési adatok felhasználásával jutott hozzá a célszervezetekhez – gyakran ugyanazon a napon, amikor a hitelesítő adatokat feltörték. Ez a gyors átállás a célzott hasznosításra a botnet-üzemeltetők és a Storm-0940 közötti magas szintű koordinációra utal.
Mindeközben a CovertNetwork-1658 visszafogottabb megközelítést alkalmaz, néhány bejelentkezési kísérletet több fiók között elosztva egy megcélzott szervezetnél. Az esetek nagyjából 80%-ában a tevékenység fiókonként napi egyszeri bejelentkezési kísérletre korlátozódik.
A Quad7 több ezer eszközt veszélyeztetett
Becslések szerint egy adott pillanatban 8000 feltört eszköz aktív a hálózaton belül, és ezeknek az eszközöknek csak körülbelül 20 százaléka vesz részt jelszószóró támadásokban.
A szakértők azt figyelték meg, hogy a botnet infrastruktúrája jelentősen visszaesett a nyilvánosság elé tárását követően, ami arra utal, hogy a fenyegetés szereplői új infrastruktúrát keresnek megváltozott ujjlenyomatokkal az észlelés elkerülése érdekében.
A CovertNetwork-1658 infrastruktúra kihasználása lehetővé teszi bármely fenyegetettség szereplő számára, hogy sokkal nagyobb léptékben indítson jelszó-szóró kampányokat, jelentősen növelve annak esélyét, hogy a hitelesítő adatokat sikeresen veszélyeztetik, és rövid időn belül számos szervezethez hozzáférjenek.
Ez a kiterjedt elérhetőség, a CovertNetwork-1658 és a kínai fenyegetettség szereplői közötti, kompromittált hitelesítő adatok gyors forgalmával párosulva növeli a fiókkompromittálódás kockázatát a különböző ágazatokban és régiókban.
A botnet aktivitásának lassulását észlelő szakértők azt mutatják, hogy a forgalom továbbra is azt mutatja, hogy a Quad7 továbbra is működőképes. Elengedhetetlen azonban annak felismerése, hogy a kompromittált útválasztók számának ez a jelentős csökkenése csak a látható jogsértéseket tükrözi. Lehetséges, hogy a Quad7 kezelői módszereket dolgoztak ki az eszközök diszkrét kompromittálására és az észlelés elkerülésére.
