Quad7 బోట్‌నెట్

సైబర్‌ సెక్యూరిటీ నిపుణులు స్టార్మ్-0940 అని పిలవబడే చైనీస్ బెదిరింపు నటుడిని గుర్తించారు, అధునాతనమైన మరియు తప్పించుకునే పాస్‌వర్డ్ స్ప్రే దాడులను నిర్వహించడానికి Quad7 అనే బోట్‌నెట్‌ను ఉపయోగిస్తున్నారు. ఈ బోట్‌నెట్‌ను CovertNetwork-1658 అని కూడా పిలుస్తారు, ఇది వివిధ Microsoft కస్టమర్‌ల నుండి ఆధారాలను దొంగిలించడానికి ఉపయోగించబడుతుంది. కనీసం 2021 నుండి పనిచేస్తోంది, Storm-0940 పాస్‌వర్డ్ స్ప్రే మరియు బ్రూట్-ఫోర్స్ టెక్నిక్‌లను ఉపయోగించడం ద్వారా లేదా నెట్‌వర్క్ ఎడ్జ్ అప్లికేషన్‌లు మరియు సర్వీస్‌లలోని దుర్బలత్వాలు మరియు తప్పు కాన్ఫిగరేషన్‌లను లక్ష్యంగా చేసుకోవడం ద్వారా ప్రారంభ యాక్సెస్‌ను పొందుతుంది.

దాడి చేసేవారు అనేక హాని కలిగించే పరికరాలను లక్ష్యంగా చేసుకుంటారు

Storm-0940 థింక్ ట్యాంక్‌లు, ప్రభుత్వ సంస్థలు, NGOలు, న్యాయ సంస్థలు మరియు రక్షణ పరిశ్రమలోని రంగాలతో సహా ఉత్తర అమెరికా మరియు యూరప్‌లోని సంస్థలపై దృష్టి సారించినందుకు గుర్తించబడింది.

Quad7 బాట్‌నెట్, దీనిని 7777 లేదా xlogin అని కూడా పిలుస్తారు, ఇది పరిశోధకులచే పూర్తిగా అధ్యయనం చేయబడింది. ఈ మాల్వేర్ TP-Link, Zyxel, Asus, Axentra, D-Link మరియు NETGEAR వంటి అనేక ప్రసిద్ధ బ్రాండ్‌ల నుండి SOHO రూటర్‌లు మరియు VPN పరికరాలపై ప్రత్యేక దృష్టిని చూపింది.

రిమోట్ కోడ్ అమలును సాధించడానికి గుర్తించబడిన మరియు సంభావ్యంగా తెలియని భద్రతా దుర్బలత్వం రెండింటి ప్రయోజనాన్ని పొందడం ద్వారా ఈ పరికరాలు రాజీపడతాయి. బాట్‌నెట్ పేరు, Quad7, సోకిన రౌటర్‌లలో రిమోట్ యాక్సెస్‌ను ప్రారంభించే TCP పోర్ట్ 7777లో వినే బ్యాక్‌డోర్ ఉంటుంది.

క్వాడ్ & అటాకర్స్ ప్రదర్శించిన వ్యూహాలు

సెప్టెంబరు 2024 నాటికి, మైక్రోసాఫ్ట్ 365 ఖాతాలపై బ్రూట్-ఫోర్స్ దాడుల కోసం బోట్‌నెట్ ప్రాథమికంగా మోహరించినట్లు కనిపిస్తోంది, ఈ కార్యకలాపాల వెనుక చైనీస్ ప్రభుత్వ-ప్రాయోజిత నటీనటులు ఉండవచ్చని సూచించింది.

మైక్రోసాఫ్ట్ యొక్క అంచనా ప్రకారం బోట్‌నెట్ యొక్క ఆపరేటర్లు చైనాలో ఉన్నారు, అక్కడ అనేక మంది ముప్పు నటులు మరింత నెట్‌వర్క్ దోపిడీని ప్రారంభించడానికి పాస్‌వర్డ్ స్ప్రే దాడుల కోసం దీనిని ఉపయోగించుకుంటారు. ఈ ఫాలో-అప్ కార్యకలాపాలలో పార్శ్వ కదలిక, రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) విస్తరణ మరియు డేటా ఎక్స్‌ఫిల్ట్రేషన్ ప్రయత్నాలు ఉన్నాయి.

ఈ పద్ధతిని ఉపయోగించుకునే వారిలో Storm-0940 ఒకటి. ఈ దాడుల ద్వారా పొందిన చెల్లుబాటు అయ్యే ఆధారాలను ఉపయోగించడం ద్వారా లక్ష్య సంస్థలకు ఇది ప్రాప్యతను పొందింది-తరచుగా అదే రోజున ఆధారాలు రాజీపడతాయి. లక్ష్య దోపిడీకి ఈ వేగవంతమైన మార్పు బోట్‌నెట్ ఆపరేటర్లు మరియు స్టార్మ్-0940 మధ్య ఉన్నత స్థాయి సమన్వయాన్ని సూచిస్తుంది.

ఇంతలో, CovertNetwork-1658 మరింత నియంత్రిత విధానాన్ని ఉపయోగిస్తుంది, లక్ష్యంగా ఉన్న సంస్థలో బహుళ ఖాతాల ద్వారా పంపిణీ చేయబడిన తక్కువ సంఖ్యలో లాగిన్ ప్రయత్నాలు. దాదాపు 80% కేసులలో, ప్రతి రోజు ఖాతాకు ఒక సైన్-ఇన్ ప్రయత్నానికి యాక్టివిటీ పరిమితం చేయబడింది.

Quad7 ద్వారా రాజీపడిన వేలాది పరికరాలు

8,000 రాజీపడిన పరికరాలు ఏ క్షణంలోనైనా నెట్‌వర్క్‌లో సక్రియంగా ఉంటాయని అంచనా వేయబడింది, వీటిలో కేవలం 20 శాతం పరికరాలు మాత్రమే పాస్‌వర్డ్-స్ప్రేయింగ్ దాడులలో పాల్గొంటాయి.

బోట్‌నెట్ ఇన్‌ఫ్రాస్ట్రక్చర్ పబ్లిక్‌గా బహిర్గతం అయిన తర్వాత దానిలో గణనీయమైన క్షీణతను నిపుణులు గమనించారు, ముప్పు నటులు గుర్తించబడకుండా ఉండటానికి మార్చబడిన వేలిముద్రలతో కొత్త మౌలిక సదుపాయాలను కోరుతున్నారని సూచించారు.

CovertNetwork-1658 ఇన్‌ఫ్రాస్ట్రక్చర్‌ని ఉపయోగించడం వల్ల ఏదైనా ముప్పు నటులు పాస్‌వర్డ్-స్ప్రేయింగ్ క్యాంపెయిన్‌లను చాలా పెద్ద స్థాయిలో ప్రారంభించడానికి వీలు కల్పిస్తుంది, ఇది ఆధారాలను విజయవంతంగా రాజీ చేసే అవకాశాలను గణనీయంగా పెంచుతుంది మరియు తక్కువ వ్యవధిలో అనేక సంస్థలకు ప్రారంభ ప్రాప్యతను పొందుతుంది.

ఈ విస్తృతమైన పరిధి, CovertNetwork-1658 మరియు చైనీస్ ముప్పు నటుల మధ్య రాజీపడిన ఆధారాల యొక్క వేగవంతమైన టర్నోవర్‌తో పాటు, వివిధ రంగాలు మరియు ప్రాంతాలలో ఖాతా రాజీల ప్రమాదాన్ని పెంచుతుంది.

బాట్‌నెట్ కార్యాచరణలో మందగమనాన్ని గుర్తించిన నిపుణులు ఇప్పటికీ Quad7 పని చేస్తూనే ఉందని ట్రాఫిక్ చూపుతుందని సూచిస్తున్నారు. ఏదేమైనప్పటికీ, రాజీపడిన రూటర్లలో ఈ గుర్తించదగిన తగ్గుదల కనిపించే ఉల్లంఘనలను మాత్రమే ప్రతిబింబిస్తుందని గుర్తించడం చాలా అవసరం. Quad7 ఆపరేటర్లు పరికరాలను తెలివిగా రాజీ చేయడానికి మరియు గుర్తించకుండా ఉండటానికి పద్ధతులను అభివృద్ధి చేసే అవకాశం ఉంది.