Quad7-botnet
Cybersecurityspecialisten hebben een Chinese dreigingsactor geïdentificeerd, bekend als Storm-0940, die gebruikmaakt van een botnet genaamd Quad7 om geavanceerde en ontwijkende wachtwoordsprayaanvallen uit te voeren. Dit botnet, ook wel CovertNetwork-1658 genoemd, wordt gebruikt om inloggegevens van verschillende Microsoft-klanten te stelen. Storm-0940 is sinds ten minste 2021 actief en krijgt in eerste instantie toegang door wachtwoordspray- en brute-forcetechnieken te gebruiken of door kwetsbaarheden en verkeerde configuraties in netwerkrandtoepassingen en -services aan te pakken.
Inhoudsopgave
Aanvallers richten zich op talloze kwetsbare apparaten
Storm-0940 staat bekend om zijn focus op organisaties in Noord-Amerika en Europa, waaronder denktanks, overheidsinstanties, NGO's, advocatenkantoren en sectoren binnen de defensie-industrie.
Het Quad7-botnet, ook wel 7777 of xlogin genoemd, is grondig bestudeerd door onderzoekers. Deze malware heeft een specifieke focus op SOHO-routers en VPN-apparaten van verschillende bekende merken, zoals TP-Link, Zyxel, Asus, Axentra, D-Link en NETGEAR.
Deze apparaten worden gecompromitteerd door misbruik te maken van zowel geïdentificeerde als potentieel onbekende beveiligingskwetsbaarheden om externe code-uitvoering te bereiken. De naam van het botnet, Quad7, komt voort uit het feit dat de geïnfecteerde routers een backdoor bevatten die luistert op TCP-poort 7777, waardoor externe toegang mogelijk is.
Tactieken getoond door de Quad & Aanvallers
Vanaf september 2024 lijkt het erop dat het botnet voornamelijk wordt ingezet voor brute-force-aanvallen op Microsoft 365-accounts. Er zijn aanwijzingen dat door de Chinese staat gesponsorde actoren waarschijnlijk achter deze operaties zitten.
De beoordeling van Microsoft suggereert dat de operators van het botnet in China zijn gevestigd, waar verschillende dreigingsactoren het gebruiken voor wachtwoordsprayaanvallen om verdere netwerkexploitatie mogelijk te maken. Deze vervolgactiviteiten omvatten laterale verplaatsing, Remote Access Trojan (RAT)-implementatie en data-exfiltratie-inspanningen.
Storm-0940 is een van de partijen die deze methode exploiteert. Het kreeg toegang tot doelorganisaties door gebruik te maken van geldige inloggegevens die via deze aanvallen werden verkregen, vaak op dezelfde dag dat de inloggegevens werden gecompromitteerd. Deze snelle overgang naar gerichte exploitatie wijst op een hoog niveau van coördinatie tussen de botnet-operators en Storm-0940.
Ondertussen hanteert CovertNetwork-1658 een meer ingetogen aanpak, met een klein aantal inlogpogingen verdeeld over meerdere accounts bij een doelorganisatie. In ongeveer 80% van de gevallen is de activiteit beperkt tot één enkele inlogpoging per account per dag.
Duizenden apparaten gecompromitteerd door Quad7
Geschat wordt dat er op elk willekeurig moment 8.000 gecompromitteerde apparaten actief zijn binnen het netwerk. Slechts 20 procent van deze apparaten is betrokken bij wachtwoordsprayaanvallen.
Deskundigen hebben een aanzienlijke afname in de botnetinfrastructuur waargenomen na de publieke bekendmaking ervan. Dit suggereert dat kwaadwillenden mogelijk op zoek zijn naar nieuwe infrastructuur met aangepaste vingerafdrukken om detectie te voorkomen.
Door gebruik te maken van de infrastructuur van CovertNetwork-1658 kan elke kwaadwillende actor op veel grotere schaal wachtwoordspraycampagnes uitvoeren. Hierdoor wordt de kans aanzienlijk groter dat inloggegevens succesvol worden gecompromitteerd en in korte tijd toegang wordt verkregen tot talloze organisaties.
Deze grote reikwijdte, in combinatie met de snelle doorstroming van gecompromitteerde inloggegevens tussen CovertNetwork-1658 en Chinese cybercriminelen, vergroot het risico op gecompromitteerde accounts in verschillende sectoren en regio's.
Experts die de vertraging in botnetactiviteit hebben opgemerkt, geven aan dat het verkeer nog steeds laat zien dat Quad7 operationeel blijft. Het is echter essentieel om te erkennen dat deze duidelijke afname in gecompromitteerde routers alleen zichtbare inbreuken weerspiegelt. Er is een mogelijkheid dat Quad7-operators methoden hebben ontwikkeld om apparaten discreet te compromitteren en detectie te voorkomen.
