Botnet Quad7
Specialiștii în securitate cibernetică au identificat un actor chinez de amenințări, cunoscut sub numele de Storm-0940, utilizând o rețea botnet numită Quad7 pentru a desfășura atacuri sofisticate și evazive prin pulverizare de parole. Acest botnet, denumit și CovertNetwork-1658, este folosit pentru a fura acreditările de la diverși clienți Microsoft. Funcționând cel puțin din 2021, Storm-0940 obține acces inițial prin utilizarea tehnicilor de pulverizare a parolelor și a forței brute sau prin țintirea vulnerabilităților și configurărilor greșite în aplicațiile și serviciile de la marginea rețelei.
Cuprins
Atacatorii vizează numeroase dispozitive vulnerabile
Storm-0940 este recunoscut pentru concentrarea acordată organizațiilor din America de Nord și Europa, inclusiv grupuri de reflecție, organisme guvernamentale, ONG-uri, firme de avocatură și sectoare din industria apărării.
Rețeaua botnet Quad7, numită și 7777 sau xlogin, a fost studiată amănunțit de cercetători. Acest malware a arătat o atenție deosebită asupra routerelor SOHO și dispozitivelor VPN de la mai multe mărci cunoscute, cum ar fi TP-Link, Zyxel, Asus, Axentra, D-Link și NETGEAR.
Aceste dispozitive sunt compromise prin profitarea de vulnerabilități de securitate identificate și potențial necunoscute pentru a realiza execuția codului de la distanță. Numele rețelei botnet, Quad7, provine din faptul că routerele infectate includ o ușă din spate care ascultă pe portul TCP 7777, permițând accesul de la distanță.
Tactici afișate de Quad și atacatori
Începând cu septembrie 2024, rețeaua botne pare să fie implementată în principal pentru atacuri cu forță brută asupra conturilor Microsoft 365, cu indicii că în spatele acestor operațiuni se află probabil actori sponsorizați de stat chinezi.
Evaluarea Microsoft sugerează că operatorii rețelei botnet au sediul în China, unde mai mulți actori de amenințări îl folosesc pentru atacuri prin pulverizarea parolelor pentru a permite exploatarea în continuare a rețelei. Aceste activități ulterioare includ mișcarea laterală, implementarea Trojanului de acces la distanță (RAT) și eforturile de exfiltrare a datelor.
Storm-0940 este printre cei care exploatează această metodă. A obținut acces la organizațiile țintă utilizând acreditări valide obținute prin aceste atacuri – adesea în aceeași zi în care acreditările au fost compromise. Această tranziție rapidă către exploatarea țintită indică un nivel ridicat de coordonare între operatorii de botnet și Storm-0940.
Între timp, CovertNetwork-1658 folosește o abordare mai restrânsă, cu un număr mic de încercări de conectare distribuite pe mai multe conturi la o organizație vizată. În aproximativ 80% din cazuri, activitatea este limitată la o singură încercare de conectare pe cont în fiecare zi.
Mii de dispozitive compromise de Quad7
Se estimează că aproximativ 8.000 de dispozitive compromise sunt active în rețea la un moment dat, doar aproximativ 20% dintre aceste dispozitive participând la atacuri de pulverizare a parolelor.
Experții au observat o scădere semnificativă a infrastructurii botnetului ca urmare a expunerii sale publice, sugerând că actorii amenințărilor ar putea căuta o nouă infrastructură cu amprentele modificate pentru a evita detectarea.
Utilizarea infrastructurii CovertNetwork-1658 permite oricărui actor de amenințare să lanseze campanii de pulverizare a parolelor la o scară mult mai mare, sporind semnificativ șansele de a compromite cu succes acreditările și de a obține acces inițial la numeroase organizații într-o perioadă scurtă.
Această acoperire extinsă, împreună cu schimbarea rapidă a acreditărilor compromise între CovertNetwork-1658 și actorii de amenințări chinezi, crește riscul de compromisuri ale conturilor în diferite sectoare și regiuni.
Experții care au observat încetinirea activității botnetului indică faptul că traficul arată încă că Quad7 rămâne operațional. Cu toate acestea, este esențial să recunoaștem că această scădere semnificativă a routerelor compromise reflectă doar încălcări vizibile. Există posibilitatea ca operatorii Quad7 să fi dezvoltat metode pentru a compromite dispozitivele în mod discret și a evita detectarea.
