Quad7 Botnet

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਇੱਕ ਚੀਨੀ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਸਨੂੰ Storm-0940 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਕੁਆਡ 7 ਨਾਮਕ ਇੱਕ ਬੋਟਨੈੱਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਧੁਨਿਕ ਅਤੇ ਛੁਟਕਾਰਾ ਪਾਉਣ ਵਾਲੇ ਪਾਸਵਰਡ ਸਪਰੇਅ ਹਮਲੇ ਕਰ ਰਿਹਾ ਹੈ। ਇਸ ਬੋਟਨੈੱਟ ਨੂੰ CovertNetwork-1658 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਵੱਖ-ਵੱਖ Microsoft ਗਾਹਕਾਂ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਨ ਲਈ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ। ਘੱਟੋ-ਘੱਟ 2021 ਤੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ, Storm-0940 ਪਾਸਵਰਡ ਸਪਰੇਅ ਅਤੇ ਬਰੂਟ-ਫੋਰਸ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜਾਂ ਨੈੱਟਵਰਕ ਐਜ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਗਲਤ ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਹਮਲਾਵਰ ਕਈ ਕਮਜ਼ੋਰ ਯੰਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ

Storm-0940 ਨੂੰ ਉੱਤਰੀ ਅਮਰੀਕਾ ਅਤੇ ਯੂਰਪ ਭਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ 'ਤੇ ਫੋਕਸ ਕਰਨ ਲਈ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਹੈ, ਜਿਸ ਵਿੱਚ ਥਿੰਕ ਟੈਂਕ, ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ, NGO, ਕਾਨੂੰਨ ਫਰਮਾਂ ਅਤੇ ਰੱਖਿਆ ਉਦਯੋਗ ਦੇ ਅੰਦਰ ਸੈਕਟਰ ਸ਼ਾਮਲ ਹਨ।

Quad7 ਬੋਟਨੈੱਟ, ਜਿਸਨੂੰ 7777 ਜਾਂ xlogin ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਦਾ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਚੰਗੀ ਤਰ੍ਹਾਂ ਅਧਿਐਨ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਮਾਲਵੇਅਰ ਨੇ ਕਈ ਮਸ਼ਹੂਰ ਬ੍ਰਾਂਡਾਂ, ਜਿਵੇਂ ਕਿ TP-Link, Zyxel, Asus, Axentra, D-Link ਅਤੇ NETGEAR ਤੋਂ SOHO ਰਾਊਟਰਾਂ ਅਤੇ VPN ਡਿਵਾਈਸਾਂ 'ਤੇ ਖਾਸ ਫੋਕਸ ਦਿਖਾਇਆ ਹੈ।

ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਪਛਾਣੀਆਂ ਅਤੇ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਅਣਜਾਣ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਫਾਇਦਾ ਉਠਾ ਕੇ ਇਹ ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਬੋਟਨੈੱਟ ਦਾ ਨਾਮ, Quad7, ਇਸ ਤੱਥ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ ਕਿ ਸੰਕਰਮਿਤ ਰਾਊਟਰਾਂ ਵਿੱਚ ਇੱਕ ਬੈਕਡੋਰ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜੋ TCP ਪੋਰਟ 7777 'ਤੇ ਸੁਣਦਾ ਹੈ, ਰਿਮੋਟ ਐਕਸੈਸ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਕਵਾਡ ਅਤੇ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਪ੍ਰਦਰਸ਼ਿਤ ਰਣਨੀਤੀਆਂ

ਸਤੰਬਰ 2024 ਤੱਕ, ਬੋਟਨੈੱਟ ਮੁੱਖ ਤੌਰ 'ਤੇ ਮਾਈਕਰੋਸਾਫਟ 365 ਖਾਤਿਆਂ 'ਤੇ ਬੇਰਹਿਮ-ਫੋਰਸ ਹਮਲਿਆਂ ਲਈ ਤੈਨਾਤ ਜਾਪਦਾ ਹੈ, ਇਸ ਗੱਲ ਦੇ ਸੰਕੇਤਾਂ ਦੇ ਨਾਲ ਕਿ ਚੀਨੀ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਅਭਿਨੇਤਾ ਇਹਨਾਂ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਪਿੱਛੇ ਹਨ।

ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਦਾ ਮੁਲਾਂਕਣ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਬੋਟਨੈੱਟ ਦੇ ਆਪਰੇਟਰ ਚੀਨ ਵਿੱਚ ਅਧਾਰਤ ਹਨ, ਜਿੱਥੇ ਕਈ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਇਸਨੂੰ ਹੋਰ ਨੈੱਟਵਰਕ ਸ਼ੋਸ਼ਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਪਾਸਵਰਡ ਸਪਰੇਅ ਹਮਲਿਆਂ ਲਈ ਵਰਤਦੇ ਹਨ। ਇਹਨਾਂ ਫਾਲੋ-ਅਪ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਲੇਟਰਲ ਮੂਵਮੈਂਟ, ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਤੈਨਾਤੀ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਯਤਨ ਸ਼ਾਮਲ ਹਨ।

ਸਟੋਰਮ-0940 ਇਸ ਵਿਧੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਾਲਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ। ਇਸਨੇ ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤੇ ਵੈਧ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਨਿਸ਼ਾਨਾ ਸੰਗਠਨਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕੀਤੀ—ਅਕਸਰ ਉਸੇ ਦਿਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ। ਨਿਸ਼ਾਨਾ ਸ਼ੋਸ਼ਣ ਲਈ ਇਹ ਤੇਜ਼ ਤਬਦੀਲੀ ਬੋਟਨੈੱਟ ਆਪਰੇਟਰਾਂ ਅਤੇ ਸਟੌਰਮ-0940 ਵਿਚਕਾਰ ਉੱਚ ਪੱਧਰੀ ਤਾਲਮੇਲ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੀ ਹੈ।

ਇਸ ਦੌਰਾਨ, CovertNetwork-1658 ਇੱਕ ਨਿਯਤ ਸੰਸਥਾ ਵਿੱਚ ਇੱਕ ਤੋਂ ਵੱਧ ਖਾਤਿਆਂ ਵਿੱਚ ਵੰਡੀਆਂ ਗਈਆਂ ਲੌਗਇਨ ਕੋਸ਼ਿਸ਼ਾਂ ਦੀ ਇੱਕ ਛੋਟੀ ਜਿਹੀ ਸੰਖਿਆ ਦੇ ਨਾਲ, ਇੱਕ ਵਧੇਰੇ ਸੰਜਮਿਤ ਪਹੁੰਚ ਵਰਤਦਾ ਹੈ। ਲਗਭਗ 80% ਮਾਮਲਿਆਂ ਵਿੱਚ, ਗਤੀਵਿਧੀ ਹਰ ਦਿਨ ਪ੍ਰਤੀ ਖਾਤਾ ਇੱਕ ਸਿੰਗਲ ਸਾਈਨ-ਇਨ ਕੋਸ਼ਿਸ਼ ਤੱਕ ਸੀਮਿਤ ਹੁੰਦੀ ਹੈ।

Quad7 ਦੁਆਰਾ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਹਜ਼ਾਰਾਂ ਉਪਕਰਣ

ਅੰਦਾਜ਼ਨ 8,000 ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਨੂੰ ਕਿਸੇ ਵੀ ਸਮੇਂ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਸਰਗਰਮ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਇਹਨਾਂ ਵਿੱਚੋਂ ਸਿਰਫ 20 ਪ੍ਰਤੀਸ਼ਤ ਡਿਵਾਈਸਾਂ ਪਾਸਵਰਡ-ਸਪਰੇਅ ਹਮਲਿਆਂ ਵਿੱਚ ਹਿੱਸਾ ਲੈਂਦੀਆਂ ਹਨ।

ਮਾਹਰਾਂ ਨੇ ਇਸਦੇ ਜਨਤਕ ਐਕਸਪੋਜਰ ਤੋਂ ਬਾਅਦ ਬੋਟਨੈੱਟ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਗਿਰਾਵਟ ਦੇਖੀ ਹੈ, ਜੋ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਬਦਲੇ ਹੋਏ ਫਿੰਗਰਪ੍ਰਿੰਟਸ ਦੇ ਨਾਲ ਨਵੇਂ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਮੰਗ ਕਰ ਸਕਦੇ ਹਨ।

CovertNetwork-1658 ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਕਿਸੇ ਵੀ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੂੰ ਪਾਸਵਰਡ-ਸਪਰੇਅ ਮੁਹਿੰਮਾਂ ਨੂੰ ਬਹੁਤ ਵੱਡੇ ਪੈਮਾਨੇ 'ਤੇ ਸ਼ੁਰੂ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਸਫਲਤਾਪੂਰਵਕ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਅਤੇ ਥੋੜ੍ਹੇ ਸਮੇਂ ਵਿੱਚ ਕਈ ਸੰਸਥਾਵਾਂ ਤੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀਆਂ ਸੰਭਾਵਨਾਵਾਂ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵਧਾਉਂਦਾ ਹੈ।

ਇਹ ਵਿਆਪਕ ਪਹੁੰਚ, CovertNetwork-1658 ਅਤੇ ਚੀਨੀ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਵਿਚਕਾਰ ਸਮਝੌਤਾ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੇ ਤੇਜ਼ੀ ਨਾਲ ਟਰਨਓਵਰ ਦੇ ਨਾਲ, ਵੱਖ-ਵੱਖ ਸੈਕਟਰਾਂ ਅਤੇ ਖੇਤਰਾਂ ਵਿੱਚ ਖਾਤੇ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਜੋਖਮ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।

ਮਾਹਿਰ ਜਿਨ੍ਹਾਂ ਨੇ ਬੋਟਨੈੱਟ ਗਤੀਵਿਧੀ ਵਿੱਚ ਮੰਦੀ ਨੂੰ ਨੋਟ ਕੀਤਾ ਹੈ ਉਹ ਸੰਕੇਤ ਦਿੰਦੇ ਹਨ ਕਿ ਟ੍ਰੈਫਿਕ ਅਜੇ ਵੀ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ Quad7 ਕਾਰਜਸ਼ੀਲ ਰਹਿੰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਪਛਾਣਨਾ ਜ਼ਰੂਰੀ ਹੈ ਕਿ ਸਮਝੌਤਾ ਕੀਤੇ ਰਾਊਟਰਾਂ ਵਿੱਚ ਇਹ ਚਿੰਨ੍ਹਿਤ ਕਮੀ ਸਿਰਫ ਦਿਖਣਯੋਗ ਉਲੰਘਣਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਇੱਕ ਸੰਭਾਵਨਾ ਹੈ ਕਿ Quad7 ਆਪਰੇਟਰਾਂ ਨੇ ਸਮਝਦਾਰੀ ਨਾਲ ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਢੰਗ ਵਿਕਸਿਤ ਕੀਤੇ ਹਨ।