Quad7 Botnet
Strokovnjaki za kibernetsko varnost so identificirali kitajskega akterja grožnje, znanega kot Storm-0940, ki uporablja botnet z imenom Quad7 za izvajanje prefinjenih in izogibajočih se napadov z gesli. Ta botnet, imenovan tudi CovertNetwork-1658, se uporablja za krajo poverilnic različnih Microsoftovih strank. Storm-0940, ki deluje vsaj od leta 2021, pridobi začetni dostop z uporabo tehnik razprševanja gesel in brutalne sile ali s ciljanjem na ranljivosti in napačne konfiguracije v aplikacijah in storitvah na robu omrežja.
Kazalo
Napadalci ciljajo na številne ranljive naprave
Storm-0940 je znan po svoji osredotočenosti na organizacije po vsej Severni Ameriki in Evropi, vključno z možganskimi trusti, vladnimi organi, nevladnimi organizacijami, odvetniškimi pisarnami in sektorji v obrambni industriji.
Raziskovalci so botnet Quad7, imenovan tudi 7777 ali xlogin, temeljito preučili. Ta zlonamerna programska oprema se je posebej osredotočila na usmerjevalnike SOHO in naprave VPN več znanih blagovnih znamk, kot so TP-Link, Zyxel, Asus, Axentra, D-Link in NETGEAR.
Te naprave so ogrožene z izkoriščanjem ugotovljenih in potencialno neznanih varnostnih ranljivosti za doseganje oddaljenega izvajanja kode. Ime botneta, Quad7, izhaja iz dejstva, da okuženi usmerjevalniki vključujejo stranska vrata, ki poslušajo vrata TCP 7777, kar omogoča oddaljeni dostop.
Taktike, ki jih prikazujejo četverice in napadalci
Od septembra 2024 se zdi, da je botnet primarno uporabljen za napade s surovo silo na račune Microsoft 365, kar kaže, da za temi operacijami verjetno stojijo akterji, ki jih sponzorira kitajska država.
Microsoftova ocena kaže, da imajo operaterji botneta sedež na Kitajskem, kjer ga več akterjev groženj uporablja za napade z razprševanjem gesel, da bi omogočili nadaljnje izkoriščanje omrežja. Te nadaljnje dejavnosti vključujejo bočno premikanje, uvajanje trojanskega konja za oddaljeni dostop (RAT) in prizadevanja za izločanje podatkov.
Storm-0940 je med tistimi, ki izkoriščajo to metodo. Dostop do ciljnih organizacij je dobil z uporabo veljavnih poverilnic, pridobljenih s temi napadi – pogosto na isti dan, ko so bile poverilnice ogrožene. Ta hiter prehod na ciljno izkoriščanje kaže na visoko raven koordinacije med operaterji botnetov in Storm-0940.
Medtem CovertNetwork-1658 uporablja bolj zadržan pristop z majhnim številom poskusov prijave, porazdeljenih na več računov v ciljni organizaciji. V približno 80 % primerov je dejavnost omejena na en sam poskus prijave na račun vsak dan.
Na tisoče naprav, ki jih je ogrozil Quad7
Ocenjuje se, da je v omrežju v danem trenutku aktivnih približno 8000 ogroženih naprav, pri čemer le okoli 20 odstotkov teh naprav sodeluje v napadih z razprševanjem gesel.
Strokovnjaki so opazili znaten upad botnetne infrastrukture po njeni javni izpostavljenosti, kar kaže na to, da akterji groženj morda iščejo novo infrastrukturo s spremenjenimi prstnimi odtisi, da bi se izognili odkrivanju.
Uporaba infrastrukture CovertNetwork-1658 omogoča kateremu koli akterju grožnje, da sproži kampanje razprševanja gesel v veliko večjem obsegu, kar znatno poveča možnosti za uspešno ogrožanje poverilnic in pridobitev začetnega dostopa do številnih organizacij v kratkem času.
Ta obsežen doseg, skupaj s hitrim menjavanjem ogroženih poverilnic med CovertNetwork-1658 in kitajskimi akterji groženj, povečuje tveganje za ogrožanje računov v različnih sektorjih in regijah.
Strokovnjaki, ki so opazili upočasnitev dejavnosti botnetov, kažejo, da promet še vedno kaže, da Quad7 še vedno deluje. Vendar se je bistveno zavedati, da to izrazito zmanjšanje števila ogroženih usmerjevalnikov odraža le vidne kršitve. Obstaja možnost, da so operaterji Quad7 razvili metode za diskretno ogrožanje naprav in izogibanje odkrivanju.
