„Quad7“ robotų tinklas
Kibernetinio saugumo specialistai nustatė Kinijos grėsmių veikėją, žinomą kaip Storm-0940, kuris naudoja robotų tinklą Quad7, kad galėtų vykdyti sudėtingas ir vengiamas slaptažodžių purškimo atakas. Šis robotų tinklas, dar vadinamas CovertNetwork-1658, naudojamas vogti kredencialus iš įvairių „Microsoft“ klientų. Veikianti mažiausiai nuo 2021 m., „Storm-0940“ įgyja pradinę prieigą, naudodama slaptažodžių išpurškimo ir brutalios jėgos metodus arba nukreipdama į tinklo pakraščio programų ir paslaugų pažeidžiamumą ir netinkamas konfigūracijas.
Turinys
Užpuolikai taikosi į daugybę pažeidžiamų įrenginių
Storm-0940 yra pripažintas dėl savo dėmesio organizacijoms visoje Šiaurės Amerikoje ir Europoje, įskaitant ekspertų grupes, vyriausybines institucijas, NVO, advokatų kontoras ir gynybos pramonės sektorius.
„Quad7“ botnetas, dar vadinamas 7777 arba xlogin, buvo kruopščiai ištirtas mokslininkų. Ši kenkėjiška programa ypač daug dėmesio skyrė SOHO maršrutizatoriams ir VPN įrenginiams iš kelių žinomų prekių ženklų, tokių kaip TP-Link, Zyxel, Asus, Axentra, D-Link ir NETGEAR.
Šie įrenginiai yra pažeisti pasinaudojant identifikuotomis ir potencialiai nežinomomis saugos pažeidžiamumu, kad būtų galima vykdyti nuotolinį kodo vykdymą. Botneto pavadinimas „Quad7“ kilo dėl to, kad užkrėstuose maršrutizatoriuose yra užpakalinės durys, kurios klauso TCP prievado 7777 ir leidžia pasiekti nuotolinę prieigą.
Keturkampių ir užpuolikų rodoma taktika
Atrodo, kad 2024 m. rugsėjo mėn. botnetas pirmiausia buvo naudojamas žiaurioms „Microsoft 365“ paskyrų atakoms, o tai rodo, kad Kinijos valstybės remiami veikėjai greičiausiai yra už šias operacijas.
„Microsoft“ įvertinimas rodo, kad botneto operatoriai yra įsikūrę Kinijoje, kur keli grėsmės veikėjai jį naudoja slaptažodžių purškimo atakoms, kad būtų galima toliau išnaudoti tinklą. Ši tolesnė veikla apima judėjimą į šoną, nuotolinės prieigos Trojos arklys (RAT) diegimą ir duomenų išfiltravimo pastangas.
Storm-0940 yra tarp tų, kurie naudoja šį metodą. Jis gavo prieigą prie tikslinių organizacijų naudodamas galiojančius kredencialus, gautus per šias atakas – dažnai tą pačią dieną, kai kredencialai buvo pažeisti. Šis greitas perėjimas prie tikslinio naudojimo rodo aukštą botneto operatorių ir Storm-0940 koordinavimo lygį.
Tuo tarpu CovertNetwork-1658 taiko santūresnį požiūrį, kai nedidelis prisijungimo bandymų skaičius paskirstomas keliose tikslinės organizacijos paskyrose. Maždaug 80 % atvejų veikla apsiriboja vienu bandymu prisijungti prie paskyros kiekvieną dieną.
„Quad7“ pakenkė tūkstančiams įrenginių
Manoma, kad bet kuriuo momentu tinkle veikia apie 8 000 pažeistų įrenginių, ir tik apie 20 procentų šių įrenginių dalyvauja slaptažodžių išpurškimo atakose.
Ekspertai pastebėjo, kad botneto infrastruktūra smarkiai sumažėjo po to, kai ji buvo atskleista viešai, o tai rodo, kad grėsmės subjektai gali ieškoti naujos infrastruktūros su pakeistais pirštų atspaudais, kad būtų išvengta aptikimo.
Naudojant CovertNetwork-1658 infrastruktūrą, bet kuris grėsmės subjektas gali pradėti slaptažodžių purškimo kampanijas daug didesniu mastu, o tai žymiai padidina galimybes sėkmingai pažeisti kredencialus ir per trumpą laiką gauti pradinę prieigą prie daugelio organizacijų.
Šis platus pasiekiamumas ir greita pažeistų kredencialų kaita tarp CovertNetwork-1658 ir Kinijos grėsmių subjektų kelia pavojų, kad paskyra bus pažeista įvairiuose sektoriuose ir regionuose.
Ekspertai, pastebėję botneto veiklos sulėtėjimą, rodo, kad srautas vis dar rodo, kad Quad7 veikia. Tačiau svarbu pripažinti, kad šis ryškus pažeistų maršruto parinktuvų sumažėjimas rodo tik matomus pažeidimus. Yra tikimybė, kad Quad7 operatoriai sukūrė metodus, kaip diskretiškai pažeisti įrenginius ir išvengti aptikimo.
