Quad7 봇넷

사이버 보안 전문가들은 Storm-0940이라는 중국 위협 행위자가 Quad7이라는 봇넷을 사용하여 정교하고 회피적인 비밀번호 스프레이 공격을 수행하는 것을 확인했습니다. CovertNetwork-1658이라고도 하는 이 봇넷은 다양한 Microsoft 고객의 자격 증명을 훔치는 데 사용됩니다. 적어도 2021년부터 운영되고 있는 Storm-0940은 비밀번호 스프레이 및 무차별 대입 기술을 사용하거나 네트워크 에지 애플리케이션 및 서비스의 취약성과 잘못된 구성을 표적으로 삼아 초기 액세스를 얻습니다.

공격자는 수많은 취약한 장치를 표적으로 삼습니다.

스톰-0940은 싱크탱크, 정부 기관, NGO, 로펌, 방위 산업 분야를 포함한 북미와 유럽 전역의 조직에 초점을 맞춘 것으로 알려져 있습니다.

Quad7 봇넷은 7777 또는 xlogin이라고도 불리며, 연구원들이 철저히 연구했습니다. 이 맬웨어는 TP-Link, Zyxel, Asus, Axentra, D-Link, NETGEAR와 같은 몇몇 유명 브랜드의 SOHO 라우터와 VPN 장치에 특히 초점을 맞추었습니다.

이러한 장치는 원격 코드 실행을 달성하기 위해 식별된 보안 취약성과 잠재적으로 알려지지 않은 보안 취약성을 모두 활용하여 손상됩니다. 봇넷의 이름인 Quad7은 감염된 라우터에 TCP 포트 7777에서 수신 대기하는 백도어가 포함되어 원격 액세스를 가능하게 한다는 사실에서 유래되었습니다.

Quad & 공격자들이 보여주는 전술

2024년 9월 현재 이 봇넷은 주로 Microsoft 365 계정을 대상으로 하는 무차별 대입 공격을 위해 사용되는 것으로 보이며, 이러한 작전의 배후에는 중국 국가 지원 세력이 있을 가능성이 높습니다.

Microsoft의 평가에 따르면 봇넷 운영자는 중국에 기반을 두고 있으며, 여러 위협 행위자가 이를 암호 스프레이 공격에 활용하여 추가 네트워크 악용을 가능하게 합니다. 이러한 후속 활동에는 측면 이동, 원격 액세스 트로이 목마(RAT) 배포 및 데이터 유출 노력이 포함됩니다.

Storm-0940은 이 방법을 악용하는 놈들 중 하나입니다. 이 놈들은 이런 공격을 통해 얻은 유효한 자격 증명을 사용하여 타깃 조직에 접근했습니다. 종종 자격 증명이 침해된 날과 같은 날이었습니다. 타깃 악용으로의 이런 빠른 전환은 봇넷 운영자와 Storm-0940 간의 높은 수준의 협력을 나타냅니다.

한편, CovertNetwork-1658은 더 제한적인 접근 방식을 채택하여, 대상 조직의 여러 계정에 분산된 소수의 로그인 시도를 합니다. 대략 80%의 경우, 활동은 매일 계정당 단일 로그인 시도로 제한됩니다.

Quad7에 의해 손상된 수천 대의 장치

약 8,000대의 손상된 장치가 언제나 네트워크 내에서 활동하고 있을 것으로 추정되며, 이러한 장치 중 약 20%만이 비밀번호 스프레이 공격에 가담하고 있습니다.

전문가들은 봇넷 인프라가 대중에 공개된 이후 상당히 감소한 것을 관찰했는데, 이는 위협 행위자들이 감지를 피하기 위해 변경된 지문을 가진 새로운 인프라를 찾고 있을 가능성을 시사합니다.

CovertNetwork-1658 인프라를 활용하면 모든 위협 행위자가 훨씬 더 큰 규모로 비밀번호 스프레이 캠페인을 실행할 수 있으며, 이를 통해 자격 증명을 성공적으로 침해하고 단시간 내에 여러 조직에 대한 초기 액세스를 얻을 가능성이 크게 높아집니다.

이러한 광범위한 범위와 CovertNetwork-1658과 중국 위협 행위자 간에 손상된 자격 증명이 빠르게 교환되는 현상이 결부되어 다양한 부문과 지역에서 계정이 손상될 위험이 커졌습니다.

봇넷 활동의 둔화를 지적한 전문가들은 트래픽이 여전히 Quad7이 작동 중임을 보여준다고 지적합니다. 그러나 손상된 라우터의 현저한 감소는 눈에 띄는 침해만을 반영한다는 것을 인식하는 것이 중요합니다. Quad7 운영자가 장치를 신중하게 손상시키고 감지를 피하는 방법을 개발했을 가능성이 있습니다.