Quad7 Botnet
Pakar keselamatan siber telah mengenal pasti pelakon ancaman China, dikenali sebagai Storm-0940, menggunakan botnet bernama Quad7 untuk melakukan serangan semburan kata laluan yang canggih dan mengelak. Botnet ini juga dirujuk sebagai CovertNetwork-1658, digunakan untuk mencuri bukti kelayakan daripada pelbagai pelanggan Microsoft. Beroperasi sejak sekurang-kurangnya 2021, Storm-0940 memperoleh akses awal dengan menggunakan teknik semburan kata laluan dan kekerasan atau dengan menyasarkan kelemahan dan salah konfigurasi dalam aplikasi dan perkhidmatan pinggir rangkaian.
Isi kandungan
Penyerang Menyasarkan Banyak Peranti Rentan
Storm-0940 diiktiraf kerana tumpuannya terhadap organisasi di seluruh Amerika Utara dan Eropah, termasuk badan pemikir, badan kerajaan, NGO, firma guaman dan sektor dalam industri pertahanan.
Botnet Quad7, juga dipanggil 7777 atau xlogin, telah dikaji dengan teliti oleh penyelidik. Malware ini telah menunjukkan tumpuan khusus pada penghala SOHO dan peranti VPN daripada beberapa jenama terkenal, seperti TP-Link, Zyxel, Asus, Axentra, D-Link dan NETGEAR.
Peranti ini dikompromi dengan memanfaatkan kedua-dua kelemahan keselamatan yang dikenal pasti dan berkemungkinan tidak diketahui untuk mencapai pelaksanaan kod jauh. Nama botnet, Quad7, berpunca daripada fakta bahawa penghala yang dijangkiti termasuk pintu belakang yang mendengar pada port TCP 7777, yang membolehkan akses jauh.
Taktik Dipamerkan oleh Quad & Attackers
Mulai September 2024, botnet nampaknya digunakan terutamanya untuk serangan kekerasan pada akaun Microsoft 365, dengan petunjuk bahawa pelakon tajaan kerajaan China berkemungkinan berada di belakang operasi ini.
Penilaian Microsoft mencadangkan bahawa pengendali botnet berpangkalan di China, di mana beberapa pelaku ancaman menggunakannya untuk serangan semburan kata laluan untuk membolehkan eksploitasi rangkaian selanjutnya. Aktiviti susulan ini termasuk pergerakan sisi, penggunaan Remote Access Trojan (RAT) dan usaha exfiltration data.
Storm-0940 adalah antara mereka yang mengeksploitasi kaedah ini. Ia mendapat akses kepada organisasi sasaran dengan menggunakan bukti kelayakan sah yang diperoleh melalui serangan ini—selalunya pada hari yang sama bukti kelayakan itu telah terjejas. Peralihan pantas kepada eksploitasi yang disasarkan ini menunjukkan tahap koordinasi yang tinggi antara pengendali botnet dan Storm-0940.
Sementara itu, CovertNetwork-1658 menggunakan pendekatan yang lebih terkawal, dengan sebilangan kecil percubaan log masuk diedarkan merentas berbilang akaun di organisasi yang disasarkan. Dalam kira-kira 80% kes, aktiviti dihadkan kepada percubaan log masuk tunggal bagi setiap akaun setiap hari.
Beribu-ribu Peranti Dikompromi oleh Quad7
Dianggarkan 8,000 peranti terjejas dipercayai aktif dalam rangkaian pada bila-bila masa, dengan hanya kira-kira 20 peratus daripada peranti ini mengambil bahagian dalam serangan penyemburan kata laluan.
Pakar telah memerhatikan penurunan ketara dalam infrastruktur botnet berikutan pendedahan awamnya, menunjukkan bahawa pelaku ancaman mungkin mencari infrastruktur baharu dengan cap jari yang diubah untuk mengelakkan pengesanan.
Menggunakan infrastruktur CovertNetwork-1658 membolehkan mana-mana pelaku ancaman melancarkan kempen penyemburan kata laluan pada skala yang lebih besar, dengan ketara meningkatkan peluang untuk berjaya menjejaskan kelayakan dan memperoleh akses awal kepada banyak organisasi dalam tempoh yang singkat.
Jangkauan meluas ini, ditambah pula dengan perolehan pantas kelayakan yang terjejas antara CovertNetwork-1658 dan pelaku ancaman China, meningkatkan risiko kompromi akaun merentas pelbagai sektor dan wilayah.
Pakar yang telah melihat kelembapan dalam aktiviti botnet menunjukkan bahawa trafik masih menunjukkan Quad7 kekal beroperasi. Walau bagaimanapun, adalah penting untuk menyedari bahawa penurunan ketara dalam penghala yang terjejas ini hanya mencerminkan pelanggaran yang boleh dilihat. Terdapat kemungkinan bahawa pengendali Quad7 telah membangunkan kaedah untuk menjejaskan peranti secara diam-diam dan mengelakkan pengesanan.
