Quad7 Botnet
Cybersäkerhetsspecialister har identifierat en kinesisk hotaktör, känd som Storm-0940, som använder ett botnät vid namn Quad7 för att utföra sofistikerade och undvikande lösenordssprayattacker. Detta botnät, även kallat CovertNetwork-1658, används för att stjäla referenser från olika Microsoft-kunder. Storm-0940, som har fungerat sedan åtminstone 2021, får första åtkomst genom att använda lösenordsspray och brute-force-tekniker eller genom att rikta in sig på sårbarheter och felkonfigurationer i applikationer och tjänster i nätverkskanten.
Innehållsförteckning
Angripare riktar sig mot många sårbara enheter
Storm-0940 är erkänt för sitt fokus på organisationer över hela Nordamerika och Europa, inklusive tankesmedjor, statliga organ, icke-statliga organisationer, advokatbyråer och sektorer inom försvarsindustrin.
Quad7-botnätet, även kallat 7777 eller xlogin, har studerats grundligt av forskare. Denna skadliga programvara har visat ett särskilt fokus på SOHO-routrar och VPN-enheter från flera välkända varumärken, såsom TP-Link, Zyxel, Asus, Axentra, D-Link och NETGEAR.
Dessa enheter äventyras genom att dra fördel av både identifierade och potentiellt okända säkerhetssårbarheter för att uppnå fjärrkörning av kod. Botnätets namn, Quad7, härrör från det faktum att de infekterade routrarna inkluderar en bakdörr som lyssnar på TCP-port 7777, vilket möjliggör fjärråtkomst.
Taktik som visas av Quad & Attackers
Från och med september 2024 verkar botnätet främst vara utplacerat för brute-force-attacker på Microsoft 365-konton, med indikationer på att kinesiska statligt sponsrade aktörer troligen ligger bakom dessa operationer.
Microsofts bedömning tyder på att botnätets operatörer är baserade i Kina, där flera hotaktörer använder det för lösenordssprayattacker för att möjliggöra ytterligare nätverksexploatering. Dessa uppföljningsaktiviteter inkluderar sidorörelser, fjärråtkomsttrojaner (RAT) och insatser för att exfiltrera data.
Storm-0940 är bland dem som utnyttjar denna metod. Den fick tillgång till målorganisationer genom att använda giltiga referenser som erhållits genom dessa attacker – ofta samma dag som referenserna äventyrades. Denna snabba övergång till riktad exploatering pekar på en hög nivå av samordning mellan botnätsoperatörerna och Storm-0940.
Samtidigt använder CovertNetwork-1658 ett mer återhållsamt tillvägagångssätt, med ett litet antal inloggningsförsök fördelade på flera konton hos en riktad organisation. I ungefär 80 % av fallen är aktiviteten begränsad till ett enda inloggningsförsök per konto varje dag.
Tusentals enheter äventyras av Quad7
Uppskattningsvis 8 000 komprometterade enheter tros vara aktiva inom nätverket vid varje given tidpunkt, med endast cirka 20 procent av dessa enheter som deltar i lösenordssprayningsattacker.
Experter har observerat en betydande nedgång i botnätsinfrastrukturen efter dess offentliga exponering, vilket tyder på att hotaktörer kan leta efter ny infrastruktur med ändrade fingeravtryck för att undvika upptäckt.
Att använda CovertNetwork-1658-infrastrukturen gör det möjligt för alla hotaktörer att lansera kampanjer med lösenordssprayning i mycket större skala, vilket avsevärt ökar chanserna att framgångsrikt kompromissa med autentiseringsuppgifter och få initial tillgång till många organisationer under en kort period.
Denna omfattande räckvidd, i kombination med den snabba omsättningen av kompromissade referenser mellan CovertNetwork-1658 och kinesiska hotaktörer, ökar risken för kontokompromisser inom olika sektorer och regioner.
Experter som har noterat nedgången i botnätsaktivitet indikerar att trafiken fortfarande visar att Quad7 fortfarande fungerar. Det är dock viktigt att inse att denna markanta minskning av komprometterade routrar endast återspeglar synliga intrång. Det finns en möjlighet att Quad7-operatörer har utvecklat metoder för att kompromissa med enheter diskret och undvika upptäckt.
