Sieć botów Quad7
Specjaliści ds. cyberbezpieczeństwa zidentyfikowali chińskiego aktora zagrożeń, znanego jako Storm-0940, wykorzystującego botnet o nazwie Quad7 do przeprowadzania wyrafinowanych i unikających ataków polegających na rozpylaniu haseł. Ten botnet, znany również jako CovertNetwork-1658, jest wykorzystywany do kradzieży danych uwierzytelniających od różnych klientów firmy Microsoft. Działający od co najmniej 2021 r. Storm-0940 uzyskuje początkowy dostęp, stosując techniki rozpylania haseł i brute-force lub atakując luki w zabezpieczeniach i błędne konfiguracje w aplikacjach i usługach brzegowych sieci.
Spis treści
Atakujący atakują liczne podatne urządzenia
Storm-0940 cieszy się uznaniem za koncentrację na organizacjach w Ameryce Północnej i Europie, w tym na ośrodkach analitycznych, instytucjach rządowych, organizacjach pozarządowych, kancelariach prawnych i sektorach przemysłu obronnego.
Botnet Quad7, zwany również 7777 lub xlogin, został dokładnie zbadany przez badaczy. To złośliwe oprogramowanie wykazało szczególne skupienie na routerach SOHO i urządzeniach VPN od kilku znanych marek, takich jak TP-Link, Zyxel, Asus, Axentra, D-Link i NETGEAR.
Urządzenia te są zagrożone poprzez wykorzystanie zarówno zidentyfikowanych, jak i potencjalnie nieznanych luk w zabezpieczeniach, aby osiągnąć zdalne wykonanie kodu. Nazwa botnetu, Quad7, pochodzi od faktu, że zainfekowane routery zawierają tylne wejście, które nasłuchuje na porcie TCP 7777, umożliwiając zdalny dostęp.
Taktyka prezentowana przez Quad i atakujących
Od września 2024 r. botnet prawdopodobnie będzie wykorzystywany przede wszystkim do ataków siłowych na konta Microsoft 365. Wszystko wskazuje na to, że za tymi operacjami najprawdopodobniej stoją podmioty sponsorowane przez chińskie państwo.
Ocena Microsoftu sugeruje, że operatorzy botnetu mają siedzibę w Chinach, gdzie kilku aktorów zagrożeń wykorzystuje go do ataków typu password spray, aby umożliwić dalszą eksploatację sieci. Te działania następcze obejmują ruch boczny, wdrażanie trojana dostępu zdalnego (RAT) i działania związane z eksfiltracją danych.
Storm-0940 należy do tych, którzy wykorzystują tę metodę. Uzyskał dostęp do organizacji docelowych, używając ważnych danych uwierzytelniających uzyskanych w wyniku tych ataków — często tego samego dnia, w którym dane uwierzytelniające zostały naruszone. To szybkie przejście do ukierunkowanej eksploatacji wskazuje na wysoki poziom koordynacji między operatorami botnetu a Storm-0940.
Tymczasem CovertNetwork-1658 stosuje bardziej powściągliwe podejście, z niewielką liczbą prób logowania rozłożonych na wiele kont w docelowej organizacji. W około 80% przypadków aktywność jest ograniczona do jednej próby logowania na konto każdego dnia.
Tysiące urządzeń zainfekowanych przez Quad7
Szacuje się, że w każdej chwili w sieci aktywnych jest około 8000 zainfekowanych urządzeń, przy czym tylko około 20 procent z nich bierze udział w atakach polegających na kradzieży haseł.
Eksperci zaobserwowali znaczący spadek infrastruktury botnetu po jego publicznym ujawnieniu, co sugeruje, że osoby atakujące mogą szukać nowej infrastruktury ze zmienionymi odciskami palców, aby uniknąć wykrycia.
Wykorzystując infrastrukturę CovertNetwork-1658, każdy atakujący może uruchomić kampanie rozprzestrzeniania haseł na znacznie większą skalę, znacznie zwiększając szanse na skuteczne złamanie danych uwierzytelniających i uzyskanie wstępnego dostępu do wielu organizacji w krótkim czasie.
Tak duży zasięg, w połączeniu z szybką wymianą naruszonych danych uwierzytelniających między CovertNetwork-1658 a chińskimi podmiotami cyberprzestępczymi, zwiększa ryzyko naruszenia bezpieczeństwa kont w różnych sektorach i regionach.
Eksperci, którzy zauważyli spowolnienie aktywności botnetów, wskazują, że ruch nadal pokazuje, że Quad7 pozostaje operacyjny. Należy jednak pamiętać, że ten wyraźny spadek liczby naruszonych routerów odzwierciedla jedynie widoczne naruszenia. Istnieje możliwość, że operatorzy Quad7 opracowali metody dyskretnego naruszeń urządzeń i uniknięcia wykrycia.
