Quad7 robottīkls
Kiberdrošības speciālisti ir identificējuši Ķīnas apdraudējuma dalībnieku, kas pazīstams ar nosaukumu Storm-0940, kurš izmanto robottīklu ar nosaukumu Quad7, lai veiktu sarežģītus un izvairīgus paroles izsmidzināšanas uzbrukumus. Šis robottīkls, ko dēvē arī par CovertNetwork-1658, tiek izmantots, lai nozagtu akreditācijas datus no dažādiem Microsoft klientiem. Storm-0940, kas darbojas vismaz kopš 2021. gada, iegūst sākotnējo piekļuvi, izmantojot paroles izsmidzināšanas un brutālā spēka paņēmienus vai mērķējot uz ievainojamībām un nepareizām konfigurācijām tīkla malu lietojumprogrammās un pakalpojumos.
Satura rādītājs
Uzbrucēji vēršas pret daudzām neaizsargātām ierīcēm
Storm-0940 ir atzīts par koncentrēšanos uz organizācijām visā Ziemeļamerikā un Eiropā, tostarp ideju laboratorijām, valsts iestādēm, NVO, advokātu birojiem un aizsardzības nozares nozarēm.
Quad7 robottīklu, ko sauc arī par 7777 vai xlogin, pētnieki ir rūpīgi izpētījuši. Šī ļaunprogrammatūra ir īpaši koncentrējusies uz SOHO maršrutētājiem un VPN ierīcēm no vairākiem labi zināmiem zīmoliem, piemēram, TP-Link, Zyxel, Asus, Axentra, D-Link un NETGEAR.
Šīs ierīces tiek apdraudētas, izmantojot gan identificētu, gan potenciāli nezināmu drošības ievainojamību, lai panāktu attālu koda izpildi. Bottīkla nosaukums Quad7 izriet no fakta, ka inficētajos maršrutētājos ir aizmugures durvis, kas klausās TCP portā 7777, nodrošinot attālo piekļuvi.
Kvadratnieku un uzbrucēju parādītā taktika
Šķiet, ka 2024. gada septembrī robottīkls galvenokārt tiek izmantots brutālu spēku uzbrukumiem Microsoft 365 kontiem, un ir norādes, ka aiz šīm darbībām, visticamāk, ir Ķīnas valsts sponsorēti dalībnieki.
Microsoft novērtējums liecina, ka robottīkla operatori atrodas Ķīnā, kur vairāki apdraudējuma dalībnieki to izmanto paroļu izsmidzināšanas uzbrukumiem, lai nodrošinātu turpmāku tīkla izmantošanu. Šīs turpmākās darbības ietver sānu pārvietošanu, attālās piekļuves Trojas zirga (RAT) izvietošanu un datu eksfiltrācijas pasākumus.
Storm-0940 ir viens no tiem, kas izmanto šo metodi. Tas ieguva piekļuvi mērķa organizācijām, izmantojot derīgus akreditācijas datus, kas iegūti ar šiem uzbrukumiem — bieži vien tajā pašā dienā, kad akreditācijas dati tika apdraudēti. Šī straujā pāreja uz mērķtiecīgu izmantošanu norāda uz augstu koordinācijas līmeni starp robottīklu operatoriem un Storm-0940.
Tikmēr CovertNetwork-1658 izmanto atturīgāku pieeju ar nelielu skaitu pieteikšanās mēģinājumu, kas tiek sadalīti pa vairākiem kontiem mērķa organizācijā. Aptuveni 80% gadījumu darbība aprobežojas ar vienu pierakstīšanās mēģinājumu vienā kontā katru dienu.
Quad7 apdraud tūkstošiem ierīču
Tiek lēsts, ka tīklā jebkurā brīdī ir aktīvas aptuveni 8000 apdraudētu ierīču, un tikai aptuveni 20 procenti no šīm ierīcēm piedalās paroļu izsmidzināšanas uzbrukumos.
Eksperti ir novērojuši ievērojamu robottīklu infrastruktūras samazināšanos pēc tās publiskošanas, kas liecina, ka apdraudējuma dalībnieki, iespējams, meklē jaunu infrastruktūru ar mainītiem pirkstu nospiedumiem, lai izvairītos no atklāšanas.
CovertNetwork-1658 infrastruktūras izmantošana ļauj jebkuram apdraudējuma dalībniekam uzsākt paroļu izsmidzināšanas kampaņas daudz plašākā mērogā, ievērojami palielinot izredzes veiksmīgi apdraudēt akreditācijas datus un iegūt sākotnējo piekļuvi daudzām organizācijām īsā laika periodā.
Šī plašā sasniedzamība kopā ar apdraudēto akreditācijas datu straujo apriti starp CovertNetwork-1658 un Ķīnas apdraudējuma dalībniekiem palielina kontu kompromitēšanas risku dažādās nozarēs un reģionos.
Eksperti, kuri ir novērojuši robottīklu aktivitātes palēnināšanos, norāda, ka satiksme joprojām liecina, ka Quad7 joprojām darbojas. Tomēr ir svarīgi atzīt, ka šis ievērojamais apdraudēto maršrutētāju samazinājums atspoguļo tikai redzamus pārkāpumus. Pastāv iespēja, ka Quad7 operatori ir izstrādājuši metodes, kā diskrēti kompromitēt ierīces un izvairīties no atklāšanas.
