Ботнет Quad7
Специалисты по кибербезопасности идентифицировали китайского злоумышленника, известного как Storm-0940, использующего ботнет Quad7 для проведения сложных и уклончивых атак с использованием распыления паролей. Этот ботнет, также называемый CovertNetwork-1658, используется для кражи учетных данных у различных клиентов Microsoft. Работая по крайней мере с 2021 года, Storm-0940 получает первоначальный доступ, используя методы распыления паролей и подбора или нацеливаясь на уязвимости и неправильные конфигурации в сетевых периферийных приложениях и службах.
Оглавление
Злоумышленники атакуют многочисленные уязвимые устройства
Storm-0940 известен своей ориентацией на организации по всей Северной Америке и Европе, включая аналитические центры, правительственные органы, неправительственные организации, юридические фирмы и секторы оборонной промышленности.
Ботнет Quad7, также называемый 7777 или xlogin, был тщательно изучен исследователями. Эта вредоносная программа показала особую направленность на маршрутизаторы SOHO и устройства VPN нескольких известных брендов, таких как TP-Link, Zyxel, Asus, Axentra, D-Link и NETGEAR.
Эти устройства скомпрометированы путем использования как выявленных, так и потенциально неизвестных уязвимостей безопасности для удаленного выполнения кода. Название ботнета, Quad7, происходит от того факта, что зараженные маршрутизаторы включают бэкдор, который прослушивает порт TCP 7777, обеспечивая удаленный доступ.
Тактика, продемонстрированная игроками Quad и нападающими
По состоянию на сентябрь 2024 года ботнет, по-видимому, в основном использовался для атак методом подбора паролей на учетные записи Microsoft 365, и есть основания полагать, что за этими операциями, вероятно, стоят спонсируемые китайским государством субъекты.
Оценка Microsoft предполагает, что операторы ботнета находятся в Китае, где несколько злоумышленников используют его для атак с распылением паролей, чтобы обеспечить дальнейшую эксплуатацию сети. Эти последующие действия включают в себя боковое перемещение, развертывание трояна удаленного доступа (RAT) и попытки эксфильтрации данных.
Storm-0940 входит в число тех, кто эксплуатирует этот метод. Он получал доступ к целевым организациям, используя действительные учетные данные, полученные в результате этих атак — часто в тот же день, когда учетные данные были скомпрометированы. Этот быстрый переход к целевой эксплуатации указывает на высокий уровень координации между операторами ботнета и Storm-0940.
Между тем, CovertNetwork-1658 использует более сдержанный подход, с небольшим количеством попыток входа, распределенных по нескольким аккаунтам в целевой организации. Примерно в 80% случаев активность ограничивается одной попыткой входа на аккаунт в день.
Тысячи устройств скомпрометированы Quad7
По оценкам, в любой момент времени в сети активны около 8000 взломанных устройств, и только около 20 процентов этих устройств участвуют в атаках с использованием паролей.
Эксперты отметили значительное снижение инфраструктуры ботнета после его публичного разоблачения, что позволяет предположить, что злоумышленники ищут новую инфраструктуру с измененными отпечатками пальцев, чтобы избежать обнаружения.
Использование инфраструктуры CovertNetwork-1658 позволяет любому злоумышленнику запускать кампании по распылению паролей в гораздо больших масштабах, что значительно повышает шансы на успешную компрометацию учетных данных и получение первоначального доступа к многочисленным организациям за короткий период времени.
Такой широкий охват в сочетании с быстрым оборотом скомпрометированных учетных данных между CovertNetwork-1658 и китайскими злоумышленниками повышает риск компрометации учетных записей в различных секторах и регионах.
Эксперты, отметившие замедление активности ботнета, указывают, что трафик по-прежнему показывает, что Quad7 остается работоспособным. Однако важно признать, что это заметное снижение числа скомпрометированных маршрутизаторов отражает только видимые нарушения. Существует вероятность, что операторы Quad7 разработали методы для скрытного компрометирования устройств и избежания обнаружения.
