Botnet Quad7
Specialistët e sigurisë kibernetike kanë identifikuar një aktor kinez të kërcënimit, të njohur si Storm-0940, duke përdorur një botnet të quajtur Quad7 për të kryer sulme të sofistikuara dhe evazive me spray fjalëkalimi. Ky botnet i referuar gjithashtu si CovertNetwork-1658, përdoret për të vjedhur kredencialet nga klientë të ndryshëm të Microsoft. Duke operuar që të paktën nga viti 2021, Storm-0940 fiton akses fillestar duke përdorur teknika të spërkatjes së fjalëkalimit dhe brute-force ose duke synuar dobësitë dhe konfigurimet e gabuara në aplikacionet dhe shërbimet e skajit të rrjetit.
Tabela e Përmbajtjes
Sulmuesit synojnë pajisje të shumta të cenueshme
Storm-0940 njihet për fokusin e tij në organizata në të gjithë Amerikën e Veriut dhe Evropë, duke përfshirë institutet e mendimit, organet qeveritare, OJQ-të, firmat ligjore dhe sektorët brenda industrisë së mbrojtjes.
Botnet Quad7, i quajtur gjithashtu 7777 ose xlogin, është studiuar tërësisht nga studiuesit. Ky malware ka treguar një fokus të veçantë në ruterat SOHO dhe pajisjet VPN nga disa marka të njohura, si TP-Link, Zyxel, Asus, Axentra, D-Link dhe NETGEAR.
Këto pajisje janë komprometuar duke përfituar nga dobësitë e sigurisë të identifikuara dhe potencialisht të panjohura për të arritur ekzekutimin e kodit në distancë. Emri i botnet-it, Quad7, rrjedh nga fakti se ruterët e infektuar përfshijnë një derë të pasme që dëgjon në portin TCP 7777, duke mundësuar akses në distancë.
Taktikat e shfaqura nga Quad & Sulmuesit
Që nga shtatori 2024, botnet-i duket se është vendosur kryesisht për sulme me forcë brutale në llogaritë e Microsoft 365, me indikacione se aktorët e sponsorizuar nga shteti kinez ka të ngjarë të qëndrojnë pas këtyre operacioneve.
Vlerësimi i Microsoft sugjeron që operatorët e botnet-it janë të vendosur në Kinë, ku disa aktorë kërcënimi e përdorin atë për sulme me spërkatje fjalëkalimi për të mundësuar shfrytëzimin e mëtejshëm të rrjetit. Këto aktivitete vijuese përfshijnë lëvizjen anësore, vendosjen e Trojanit me akses në distancë (RAT) dhe përpjekjet për nxjerrjen e të dhënave.
Storm-0940 është ndër ata që shfrytëzojnë këtë metodë. Ai fitoi akses në organizatat e synuara duke përdorur kredencialet e vlefshme të marra përmes këtyre sulmeve - shpesh në të njëjtën ditë që kredencialet u komprometuan. Ky tranzicion i shpejtë drejt shfrytëzimit të synuar tregon për një nivel të lartë koordinimi midis operatorëve të botnet-it dhe Storm-0940.
Ndërkohë, CovertNetwork-1658 përdor një qasje më të përmbajtur, me një numër të vogël përpjekjesh për hyrje të shpërndara nëpër llogari të shumta në një organizatë të synuar. Në afërsisht 80% të rasteve, aktiviteti kufizohet në një përpjekje të vetme identifikimi për llogari çdo ditë.
Mijëra pajisje të komprometuara nga Quad7
Rreth 8,000 pajisje të komprometuara besohet të jenë aktive brenda rrjetit në çdo moment të caktuar, me vetëm rreth 20 përqind të këtyre pajisjeve që marrin pjesë në sulmet me spërkatje të fjalëkalimit.
Ekspertët kanë vërejtur një rënie të konsiderueshme në infrastrukturën botnet pas ekspozimit të saj publik, duke sugjeruar se aktorët e kërcënimit mund të kërkojnë infrastrukturë të re me gjurmë gishtash të ndryshuar për të shmangur zbulimin.
Përdorimi i infrastrukturës CovertNetwork-1658 i mundëson çdo aktori kërcënimi të nisë fushata për spërkatje të fjalëkalimeve në një shkallë shumë më të madhe, duke rritur ndjeshëm shanset për të kompromentuar me sukses kredencialet dhe për të fituar akses fillestar në organizata të shumta në një periudhë të shkurtër.
Kjo shtrirje e gjerë, së bashku me qarkullimin e shpejtë të kredencialeve të komprometuara midis CovertNetwork-1658 dhe aktorëve kinezë të kërcënimit, rrit rrezikun e kompromiseve të llogarisë në sektorë dhe rajone të ndryshme.
Ekspertët që kanë vërejtur ngadalësimin e aktivitetit të botnet-it tregojnë se trafiku ende tregon se Quad7 mbetet funksional. Megjithatë, është thelbësore të pranohet se kjo rënie e theksuar në ruterat e komprometuar pasqyron vetëm shkelje të dukshme. Ekziston mundësia që operatorët Quad7 të kenë zhvilluar metoda për të komprometuar pajisjet në mënyrë diskrete dhe për të shmangur zbulimin.
