Quad7 Botnet

साइबरसुरक्षा विशेषज्ञहरूले एक चिनियाँ खतरा अभिनेताको पहिचान गरेका छन्, जसलाई Storm-0940 भनिन्छ, Quad7 नामक बोटनेट प्रयोग गरी परिष्कृत र इभ्यासिभ पासवर्ड स्प्रे आक्रमणहरू सञ्चालन गर्न। यस बोटनेटलाई CovertNetwork-1658 पनि भनिन्छ, विभिन्न Microsoft ग्राहकहरूबाट प्रमाणहरू चोर्न प्रयोग गरिन्छ। कम्तिमा 2021 देखि सञ्चालन भइरहेको, Storm-0940 ले पासवर्ड स्प्रे र ब्रूट-फोर्स प्रविधिहरू प्रयोग गरेर वा नेटवर्क एज अनुप्रयोगहरू र सेवाहरूमा कमजोरीहरू र गलत कन्फिगरेसनहरूलाई लक्षित गरेर प्रारम्भिक पहुँच प्राप्त गर्दछ।

आक्रमणकारीहरूले धेरै कमजोर उपकरणहरूलाई लक्षित गर्छन्

Storm-0940 लाई उत्तरी अमेरिका र युरोपभरि थिंक ट्याङ्कहरू, सरकारी निकायहरू, गैरसरकारी संस्थाहरू, कानून फर्महरू, र रक्षा उद्योग भित्रका क्षेत्रहरू लगायतका संगठनहरूमा केन्द्रित गर्नका लागि मान्यता दिइएको छ।

Quad7 बोटनेट, जसलाई 7777 वा xlogin पनि भनिन्छ, अनुसन्धानकर्ताहरूले राम्ररी अध्ययन गरेका छन्। यस मालवेयरले TP-Link, Zyxel, Asus, Axentra, D-Link र NETGEAR जस्ता धेरै प्रसिद्ध ब्रान्डहरूबाट SOHO राउटरहरू र VPN उपकरणहरूमा विशेष फोकस देखाएको छ।

यी उपकरणहरू रिमोट कोड कार्यान्वयन प्राप्त गर्न पहिचान र सम्भावित अज्ञात सुरक्षा कमजोरीहरूको फाइदा उठाएर सम्झौता गरिएका छन्। बोटनेटको नाम, Quad7, यस तथ्यबाट उत्पन्न हुन्छ कि संक्रमित राउटरहरूले TCP पोर्ट 7777 मा सुन्ने ब्याकडोर समावेश गर्दछ, रिमोट पहुँच सक्षम पार्दै।

क्वाड र आक्रमणकारीहरू द्वारा प्रदर्शित रणनीति

सेप्टेम्बर 2024 सम्म, बोटनेट मुख्यतया माइक्रोसफ्ट 365 खाताहरूमा ब्रूट-फोर्स आक्रमणहरूको लागि तैनाथ गरिएको देखिन्छ, यी कार्यहरू पछाडि चिनियाँ राज्य-प्रायोजित अभिनेताहरू हुन सक्ने संकेतहरू छन्।

माइक्रोसफ्टको मूल्याङ्कनले सुझाव दिन्छ कि बोटनेटका अपरेटरहरू चीनमा आधारित छन्, जहाँ धेरै खतरा अभिनेताहरूले यसलाई थप नेटवर्क शोषण सक्षम गर्न पासवर्ड स्प्रे आक्रमणहरूको लागि प्रयोग गर्छन्। यी फलो-अप गतिविधिहरूमा पार्श्व आन्दोलन, रिमोट एक्सेस ट्रोजन (RAT) डिप्लोयमेन्ट र डेटा एक्सफिल्टेशन प्रयासहरू समावेश छन्।

Storm-0940 यस विधिको शोषण गर्नेहरू मध्ये एक हो। यसले यी आक्रमणहरू मार्फत प्राप्त वैध प्रमाणहरू प्रयोग गरेर लक्षित संस्थाहरूमा पहुँच प्राप्त गर्‍यो — प्रायः उही दिन प्रमाणहरू सम्झौता गरिएको थियो। लक्षित शोषण बिन्दुमा यो द्रुत संक्रमण बोटनेट अपरेटरहरू र Storm-0940 बीचको समन्वयको उच्च स्तरमा।

यसैबीच, CovertNetwork-1658 ले लक्षित संस्थामा धेरै खाताहरूमा वितरण गर्ने थोरै संख्यामा लगइन प्रयासहरूको साथमा थप संयमित दृष्टिकोण प्रयोग गर्दछ। लगभग 80% मामिलाहरूमा, गतिविधि प्रत्येक दिन प्रति खाता एकल साइन-इन प्रयासमा सीमित हुन्छ।

हजारौं उपकरणहरू Quad7 द्वारा सम्झौता

अनुमानित 8,000 सम्झौता गरिएका यन्त्रहरू नेटवर्क भित्र कुनै पनि क्षणमा सक्रिय हुने विश्वास गरिन्छ, यी यन्त्रहरूमध्ये लगभग 20 प्रतिशत मात्र पासवर्ड-स्प्रे गर्ने आक्रमणहरूमा भाग लिन्छन्।

विज्ञहरूले यसको सार्वजनिक एक्सपोजर पछि बोटनेट पूर्वाधारमा उल्लेखनीय गिरावट देखेका छन्, सुझाव दिए कि खतरा अभिनेताहरूले पत्ता लगाउनबाट बच्नको लागि परिवर्तन गरिएको औंठाछापको साथ नयाँ पूर्वाधार खोजिरहेका हुन सक्छन्।

CovertNetwork-1658 पूर्वाधारको प्रयोगले कुनै पनि खतरा अभिनेतालाई पासवर्ड-छिड़काउने अभियानहरू धेरै ठूला स्तरमा सुरु गर्न सक्षम बनाउँछ, जसले सफलतापूर्वक प्रमाणहरूसँग सम्झौता गर्ने र छोटो अवधिमा धेरै संस्थाहरूमा प्रारम्भिक पहुँच प्राप्त गर्ने सम्भावनाहरू बढाउँछ।

यो व्यापक पहुँच, CovertNetwork-1658 र चिनियाँ खतरा अभिनेताहरू बीच समझौता प्रमाणहरूको द्रुत कारोबारको साथमा, विभिन्न क्षेत्र र क्षेत्रहरूमा खाता सम्झौताको जोखिम बढाउँछ।

बोटनेट गतिविधिमा सुस्ततालाई नोट गरेका विज्ञहरूले ट्राफिकले अझै पनि Quad7 सञ्चालनमा रहेको देखाउँछ भन्ने संकेत गर्छ। यद्यपि, यो पहिचान गर्न आवश्यक छ कि सम्झौता गरिएको राउटरहरूमा यो चिन्हित कमीले दृश्य उल्लंघनहरू मात्र प्रतिबिम्बित गर्दछ। त्यहाँ सम्भावना छ कि Quad7 अपरेटरहरूले सावधानीपूर्वक उपकरणहरू सम्झौता गर्न र पत्ता लगाउनबाट बच्न विधिहरू विकास गरेका छन्।