Botnet Quad7
Gli specialisti della sicurezza informatica hanno identificato un autore di minacce cinese, noto come Storm-0940, che utilizza una botnet denominata Quad7 per condurre attacchi password spray sofisticati ed evasivi. Questa botnet, nota anche come CovertNetwork-1658, viene impiegata per rubare credenziali da vari clienti Microsoft. Operativa almeno dal 2021, Storm-0940 ottiene l'accesso iniziale impiegando tecniche password spray e brute-force o prendendo di mira vulnerabilità ed errori di configurazione in applicazioni e servizi di rete edge.
Sommario
Gli aggressori prendono di mira numerosi dispositivi vulnerabili
Storm-0940 è riconosciuto per la sua attenzione rivolta a organizzazioni in Nord America ed Europa, tra cui think tank, enti governativi, ONG, studi legali e settori dell'industria della difesa.
La botnet Quad7, chiamata anche 7777 o xlogin, è stata studiata a fondo dai ricercatori. Questo malware ha mostrato un'attenzione particolare ai router SOHO e ai dispositivi VPN di diversi marchi noti, come TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR.
Questi dispositivi vengono compromessi sfruttando vulnerabilità di sicurezza sia identificate che potenzialmente sconosciute per ottenere l'esecuzione di codice remoto. Il nome della botnet, Quad7, deriva dal fatto che i router infetti includono una backdoor che ascolta sulla porta TCP 7777, consentendo l'accesso remoto.
Tattiche mostrate dal Quad e dagli attaccanti
A settembre 2024, la botnet sembra essere utilizzata principalmente per attacchi brute-force sugli account Microsoft 365, con indicazioni che probabilmente dietro queste operazioni ci siano attori sponsorizzati dallo Stato cinese.
La valutazione di Microsoft suggerisce che gli operatori della botnet hanno sede in Cina, dove diversi attori della minaccia la utilizzano per attacchi password spray per consentire un ulteriore sfruttamento della rete. Queste attività di follow-up includono movimento laterale, distribuzione di Remote Access Trojan (RAT) e sforzi di esfiltrazione dei dati.
Storm-0940 è tra coloro che sfruttano questo metodo. Ha ottenuto l'accesso alle organizzazioni target utilizzando credenziali valide ottenute tramite questi attacchi, spesso lo stesso giorno in cui le credenziali sono state compromesse. Questa rapida transizione verso lo sfruttamento mirato indica un elevato livello di coordinamento tra gli operatori della botnet e Storm-0940.
Nel frattempo, CovertNetwork-1658 adotta un approccio più sobrio, con un numero ridotto di tentativi di accesso distribuiti su più account in un'organizzazione mirata. In circa l'80% dei casi, l'attività è limitata a un singolo tentativo di accesso per account al giorno.
Migliaia di dispositivi compromessi da Quad7
Si stima che in ogni momento siano attivi sulla rete circa 8.000 dispositivi compromessi, di cui solo il 20% circa partecipa ad attacchi di tipo password-spraying.
Gli esperti hanno osservato un calo significativo nell'infrastruttura della botnet in seguito alla sua divulgazione al pubblico, il che suggerisce che gli autori della minaccia potrebbero essere alla ricerca di nuove infrastrutture con impronte digitali alterate per evitare di essere rilevati.
Utilizzando l'infrastruttura CovertNetwork-1658, qualsiasi autore di minacce può lanciare campagne di password spraying su larga scala, aumentando significativamente le possibilità di compromettere con successo le credenziali e di ottenere l'accesso iniziale a numerose organizzazioni in un breve lasso di tempo.
Questa vasta portata, unita al rapido scambio di credenziali compromesse tra CovertNetwork-1658 e gli autori delle minacce cinesi, aumenta il rischio di compromissione degli account in vari settori e regioni.
Gli esperti che hanno notato il rallentamento dell'attività della botnet indicano che il traffico mostra ancora che Quad7 rimane operativo. Tuttavia, è essenziale riconoscere che questa marcata diminuzione dei router compromessi riflette solo violazioni visibili. C'è la possibilità che gli operatori Quad7 abbiano sviluppato metodi per compromettere i dispositivi in modo discreto ed evitare il rilevamento.
