Куад7 Ботнет
Специјалисти за сајбер безбедност идентификовали су кинеског актера претњи, познатог као Сторм-0940, који користи ботнет под називом Куад7 за спровођење софистицираних и избегавајућих напада спрејом лозинком. Овај ботнет који се такође назива ЦовертНетворк-1658, користи се за крађу акредитива од различитих Мицрософт клијената. Радећи од најмање 2021. године, Сторм-0940 добија почетни приступ употребом техника прскања лозинки и грубе силе или циљањем рањивости и погрешних конфигурација у апликацијама и услугама на ивици мреже.
Преглед садржаја
Нападачи циљају бројне рањиве уређаје
Сторм-0940 је препознат по свом фокусу на организације широм Северне Америке и Европе, укључујући тхинк танкове, владина тела, невладине организације, адвокатске фирме и секторе у оквиру одбрамбене индустрије.
Истраживачи су темељно проучавали Куад7 ботнет, који се назива и 7777 или клогин. Овај малвер је показао посебан фокус на СОХО рутерима и ВПН уређајима неколико познатих брендова, као што су ТП-Линк, Зикел, Асус, Акентра, Д-Линк и НЕТГЕАР.
Ови уређаји су компромитовани коришћењем предности идентификованих и потенцијално непознатих безбедносних рањивости за постизање даљинског извршавања кода. Име ботнета, Куад7, потиче од чињенице да заражени рутери укључују бацкдоор који слуша ТЦП порт 7777, омогућавајући даљински приступ.
Тактике приказане од стране квада и нападача
Од септембра 2024., изгледа да је ботнет првенствено распоређен за нападе грубом силом на Мицрософт 365 налоге, са назнакама да иза ових операција вероватно стоје актери које спонзорише кинеска држава.
Мицрософтова процена сугерише да су оператери ботнета смештени у Кини, где га неколико актера претњи користи за нападе спрејом лозинком како би омогућили даљу експлоатацију мреже. Ове пратеће активности укључују бочно померање, примену Тројанца за даљински приступ (РАТ) и ексфилтрацију података.
Сторм-0940 је међу онима који користе овај метод. Добио је приступ циљним организацијама користећи важеће акредитиве добијене овим нападима — често истог дана када су акредитиви били компромитовани. Овај брзи прелазак на циљану експлоатацију указује на висок ниво координације између ботнет оператера и Сторм-0940.
У међувремену, ЦовертНетворк-1658 користи суздржанији приступ, са малим бројем покушаја пријављивања распоређених на више налога у циљаној организацији. У отприлике 80% случајева, активност је ограничена на један покушај пријављивања по налогу сваког дана.
Хиљаде уређаја угрожених Куад7
Процењује се да је око 8.000 компромитованих уређаја активно унутар мреже у сваком тренутку, а само око 20 процената ових уређаја учествује у нападима лозинком.
Стручњаци су приметили значајан пад ботнет инфраструктуре након њеног излагања јавности, што сугерише да актери претњи можда траже нову инфраструктуру са измењеним отисцима прстију како би избегли откривање.
Коришћење ЦовертНетворк-1658 инфраструктуре омогућава сваком актеру претњи да покрене кампање ширења лозинки у много већем обиму, значајно повећавајући шансе за успешно компромитовање акредитива и добијање почетног приступа бројним организацијама у кратком периоду.
Овај широк домет, заједно са брзим обртом компромитованих акредитива између ЦовертНетворк-1658 и кинеских актера претњи, повећава ризик од компромитовања налога у различитим секторима и регионима.
Стручњаци који су приметили успоравање активности ботнета указују да саобраћај и даље показује да је Куад7 и даље оперативан. Међутим, битно је препознати да ово значајно смањење компромитованих рутера само одражава видљиве повреде. Постоји могућност да су Куад7 оператери развили методе за дискретно компромитовање уређаја и избегавање откривања.
