Quad7 Botnet
Nettsikkerhetsspesialister har identifisert en kinesisk trusselaktør, kjent som Storm-0940, som bruker et botnett ved navn Quad7 for å utføre sofistikerte og unnvikende passordsprayangrep. Dette botnettet også referert til som CovertNetwork-1658, brukes til å stjele legitimasjon fra forskjellige Microsoft-kunder. Storm-0940, som har vært i drift siden minst 2021, får førstegangstilgang ved å bruke passordspray og brute-force-teknikker eller ved å målrette mot sårbarheter og feilkonfigurasjoner i applikasjoner og tjenester i nettverkskanten.
Innholdsfortegnelse
Angripere retter seg mot en rekke sårbare enheter
Storm-0940 er anerkjent for sitt fokus på organisasjoner over hele Nord-Amerika og Europa, inkludert tenketanker, statlige organer, frivillige organisasjoner, advokatfirmaer og sektorer innen forsvarsindustrien.
Quad7-botnettet, også kalt 7777 eller xlogin, har blitt grundig studert av forskere. Denne skadevare har vist et spesielt fokus på SOHO-rutere og VPN-enheter fra flere kjente merker, som TP-Link, Zyxel, Asus, Axentra, D-Link og NETGEAR.
Disse enhetene er kompromittert ved å utnytte både identifiserte og potensielt ukjente sikkerhetssårbarheter for å oppnå ekstern kjøring av kode. Botnettets navn, Quad7, stammer fra det faktum at de infiserte ruterne inkluderer en bakdør som lytter på TCP-port 7777, som muliggjør ekstern tilgang.
Taktikk vist av Quad og angripere
Fra september 2024 ser det ut til at botnettet primært er utplassert for brute-force-angrep på Microsoft 365-kontoer, med indikasjoner på at kinesiske statssponsede aktører sannsynligvis står bak disse operasjonene.
Microsofts vurdering tyder på at botnettets operatører er basert i Kina, hvor flere trusselaktører bruker det til passordsprayangrep for å muliggjøre ytterligere nettverksutnyttelse. Disse oppfølgingsaktivitetene inkluderer sidebevegelse, fjerntilgang Trojan (RAT) distribusjon og dataeksfiltrering.
Storm-0940 er blant dem som utnytter denne metoden. Den fikk tilgang til målorganisasjoner ved å bruke gyldig legitimasjon oppnådd gjennom disse angrepene - ofte samme dag som legitimasjonen ble kompromittert. Denne raske overgangen til målrettet utnyttelse peker på et høyt nivå av koordinering mellom botnett-operatørene og Storm-0940.
I mellomtiden bruker CovertNetwork-1658 en mer tilbakeholden tilnærming, med et lite antall påloggingsforsøk fordelt på flere kontoer hos en målrettet organisasjon. I omtrent 80 % av tilfellene er aktiviteten begrenset til ett enkelt påloggingsforsøk per konto hver dag.
Tusenvis av enheter kompromittert av Quad7
Anslagsvis 8000 kompromitterte enheter antas å være aktive i nettverket til enhver tid, med bare rundt 20 prosent av disse enhetene som deltar i passordsprayingangrep.
Eksperter har observert en betydelig nedgang i botnett-infrastrukturen etter offentlig eksponering, noe som tyder på at trusselaktører kan lete etter ny infrastruktur med endrede fingeravtrykk for å unngå oppdagelse.
Bruk av CovertNetwork-1658-infrastrukturen gjør det mulig for enhver trusselaktør å lansere passordsprayingskampanjer i mye større skala, noe som øker sjansene betydelig for å lykkes med å kompromittere legitimasjon og få tilgang til en rekke organisasjoner i løpet av kort tid.
Denne omfattende rekkevidden, kombinert med den raske omsetningen av kompromitterte legitimasjoner mellom CovertNetwork-1658 og kinesiske trusselaktører, øker risikoen for kontokompromisser på tvers av ulike sektorer og regioner.
Eksperter som har lagt merke til nedgangen i botnett-aktivitet indikerer at trafikken fortsatt viser at Quad7 fortsatt er i drift. Det er imidlertid viktig å erkjenne at denne markerte nedgangen i kompromitterte rutere bare gjenspeiler synlige brudd. Det er en mulighet for at Quad7-operatører har utviklet metoder for å kompromittere enheter diskret og unngå deteksjon.
