Botnet Quad7
Špecialisti na kybernetickú bezpečnosť identifikovali čínskeho aktéra hrozieb, známeho ako Storm-0940, ktorý využíva botnet s názvom Quad7 na vykonávanie sofistikovaných a vyhýbavých útokov na sprejovanie hesiel. Tento botnet označovaný aj ako CovertNetwork-1658 sa používa na kradnutie poverení od rôznych zákazníkov spoločnosti Microsoft. Storm-0940, ktorý funguje minimálne od roku 2021, získava počiatočný prístup pomocou sprejovania hesiel a techník hrubej sily alebo zameraním sa na zraniteľné miesta a nesprávne konfigurácie v aplikáciách a službách na okraji siete.
Obsah
Útočníci sa zameriavajú na množstvo zraniteľných zariadení
Storm-0940 je uznávaný pre svoje zameranie na organizácie v Severnej Amerike a Európe, vrátane think-tankov, vládnych orgánov, mimovládnych organizácií, právnických firiem a sektorov v rámci obranného priemyslu.
Botnet Quad7, tiež nazývaný 7777 alebo xlogin, bol dôkladne študovaný výskumníkmi. Tento malvér ukázal osobitné zameranie na SOHO smerovače a VPN zariadenia od niekoľkých známych značiek, ako sú TP-Link, Zyxel, Asus, Axentra, D-Link a NETGEAR.
Tieto zariadenia sú kompromitované využívaním identifikovaných aj potenciálne neznámych bezpečnostných zraniteľností na dosiahnutie vzdialeného spustenia kódu. Názov botnetu Quad7 vychádza zo skutočnosti, že infikované smerovače obsahujú zadné vrátka, ktoré počúvajú na porte TCP 7777 a umožňujú vzdialený prístup.
Taktika štvorice a útočníkov
Od septembra 2024 sa zdá, že botnet je primárne nasadený na útoky hrubou silou na účty Microsoft 365, čo naznačuje, že za týmito operáciami sú pravdepodobne čínski štátom sponzorovaní aktéri.
Z hodnotenia spoločnosti Microsoft vyplýva, že prevádzkovatelia botnetu sídlia v Číne, kde ho niekoľko aktérov hrozieb využíva na útoky sprejom hesiel, aby umožnili ďalšie využívanie siete. Tieto následné aktivity zahŕňajú laterálny pohyb, nasadenie trójskych koní so vzdialeným prístupom (RAT) a úsilie o exfiltráciu údajov.
Storm-0940 patrí medzi tých, ktorí využívajú túto metódu. Získal prístup k cieľovým organizáciám pomocou platných poverení získaných týmito útokmi – často v ten istý deň, keď boli poverenia ohrozené. Tento rýchly prechod k cielenému využívaniu poukazuje na vysokú úroveň koordinácie medzi prevádzkovateľmi botnetov a Storm-0940.
Medzitým CovertNetwork-1658 využíva zdržanlivejší prístup s malým počtom pokusov o prihlásenie distribuovaných na viacero účtov v cieľovej organizácii. Približne v 80 % prípadov je aktivita obmedzená na jeden pokus o prihlásenie na účet každý deň.
Tisíce zariadení kompromitovaných Quad7
Odhaduje sa, že v danej chvíli je v sieti aktívnych približne 8 000 napadnutých zariadení, pričom len asi 20 percent z týchto zariadení sa zúčastňuje útokov na presprejovanie hesiel.
Odborníci zaznamenali výrazný pokles infraštruktúry botnetu po jeho odhalení verejnosti, čo naznačuje, že aktéri hrozby môžu hľadať novú infraštruktúru so zmenenými odtlačkami prstov, aby sa vyhli odhaleniu.
Využitie infraštruktúry CovertNetwork-1658 umožňuje akémukoľvek aktérovi hrozieb spustiť kampane na rozprašovanie hesiel v oveľa väčšom rozsahu, čím sa výrazne zvýšia šance na úspešné ohrozenie prihlasovacích údajov a získanie počiatočného prístupu k mnohým organizáciám v krátkom čase.
Tento rozsiahly dosah spolu s rýchlym obratom kompromitovaných prihlasovacích údajov medzi CovertNetwork-1658 a čínskymi aktérmi hrozieb zvyšuje riziko ohrozenia účtov v rôznych sektoroch a regiónoch.
Odborníci, ktorí zaznamenali spomalenie aktivity botnetov, naznačujú, že návštevnosť stále ukazuje, že Quad7 zostáva funkčný. Je však nevyhnutné si uvedomiť, že tento výrazný pokles napadnutých smerovačov odráža iba viditeľné porušenia. Existuje možnosť, že operátori Quad7 vyvinuli metódy na diskrétne kompromitovanie zariadení a vyhýbanie sa detekcii.
