Quad7 Botnet
Especialistas em segurança cibernética identificaram um ator de ameaça chinês, conhecido como Storm-0940, utilizando uma botnet chamada Quad7 para conduzir ataques sofisticados e evasivos de pulverização de senhas. Esta botnet, também conhecida como CovertNetwork-1658, é empregada para roubar credenciais de vários clientes da Microsoft. Operando desde pelo menos 2021, a Storm-0940 obtém acesso inicial empregando técnicas de pulverização de senhas e força bruta ou mirando vulnerabilidades e configurações incorretas em aplicativos e serviços de ponta de rede.
Índice
Os Invasores Têm como Alvo Vários Dispositivos Vulneráveis
A Storm-0940 é reconhecida por seu foco em organizações na América do Norte e Europa, incluindo think tanks, órgãos governamentais, ONGs, escritórios de advocacia e setores da indústria de defesa.
O botnet Quad7, também chamado de 7777 ou xlogin, foi estudado exaustivamente por pesquisadores. Este malware mostrou um foco particular em roteadores SOHO e dispositivos VPN de várias marcas bem conhecidas, como TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR.
Esses dispositivos são comprometidos ao tirar vantagem de vulnerabilidades de segurança identificadas e potencialmente desconhecidas para obter execução remota de código. O nome do botnet, Quad7, vem do fato de que os roteadores infectados incluem um backdoor que escuta na porta TCP 7777, permitindo acesso remoto.
Táticas Exibidas pelos Atacantes e pelo Quad
Em setembro de 2024, o botnet parecia ser usado principalmente para ataques de força bruta em contas do Microsoft 365, com indícios de que agentes patrocinados pelo estado chinês provavelmente estão por trás dessas operações.
A avaliação da Microsoft sugere que os operadores do botnet estão sediados na China, onde vários agentes de ameaças o utilizam para ataques de pulverização de senhas para permitir maior exploração da rede. Essas atividades de acompanhamento incluem movimentação lateral, implantação de Trojan de acesso remoto (RAT) e esforços de exfiltração de dados.
Storm-0940 está entre aqueles que exploram esse método. Ele obteve acesso às organizações alvo usando credenciais válidas obtidas por meio desses ataques — geralmente no mesmo dia em que as credenciais foram comprometidas. Essa rápida transição para exploração direcionada aponta para um alto nível de coordenação entre os operadores de botnet e Storm-0940.
Enquanto isso, o CovertNetwork-1658 emprega uma abordagem mais contida, com um pequeno número de tentativas de login distribuídas em várias contas em uma organização alvo. Em cerca de 80% dos casos, a atividade é limitada a uma única tentativa de login por conta a cada dia.
Milhares de Dispositivos Comprometidos pelo Quad7
Estima-se que 8.000 dispositivos comprometidos estejam ativos na rede a qualquer momento, com apenas 20% desses dispositivos participando de ataques de pulverização de senhas.
Especialistas observaram um declínio significativo na infraestrutura de botnet após sua exposição pública, sugerindo que os agentes de ameaças podem estar buscando uma nova infraestrutura com impressões digitais alteradas para evitar a detecção.
Utilizar a infraestrutura CovertNetwork-1658 permite que qualquer agente de ameaças lance campanhas de pulverização de senhas em uma escala muito maior, aumentando significativamente as chances de comprometer credenciais com sucesso e obter acesso inicial a diversas organizações em um curto período.
Esse amplo alcance, somado à rápida rotatividade de credenciais comprometidas entre a CovertNetwork-1658 e os agentes de ameaças chineses, aumenta o risco de comprometimento de contas em vários setores e regiões.
Especialistas que notaram a desaceleração na atividade de botnet indicam que o tráfego ainda mostra que o Quad7 continua operacional. No entanto, é essencial reconhecer que essa diminuição acentuada em roteadores comprometidos reflete apenas violações visíveis. Há uma possibilidade de que os operadores do Quad7 tenham desenvolvido métodos para comprometer dispositivos discretamente e evitar a detecção.
