บอตเน็ต Quad7

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุตัวผู้ก่อภัยคุกคามชาวจีนที่รู้จักกันในชื่อ Storm-0940 ซึ่งใช้บอตเน็ตชื่อ Quad7 เพื่อดำเนินการโจมตีแบบพาสเวิร์ดสเปรย์ที่ซับซ้อนและหลบเลี่ยง บอตเน็ตนี้เรียกอีกอย่างว่า CovertNetwork-1658 ถูกใช้เพื่อขโมยข้อมูลประจำตัวจากลูกค้า Microsoft หลายราย Storm-0940 ดำเนินการมาตั้งแต่ปี 2021 เป็นอย่างน้อย โดยเข้าถึงข้อมูลเบื้องต้นได้โดยใช้พาสเวิร์ดสเปรย์และเทคนิคบรูทฟอร์ซ หรือโดยกำหนดเป้าหมายที่ช่องโหว่และการกำหนดค่าที่ไม่ถูกต้องในแอปพลิเคชันและบริการขอบเครือข่าย

ผู้โจมตีกำหนดเป้าหมายอุปกรณ์ที่มีความเสี่ยงจำนวนมาก

Storm-0940 ได้รับการยอมรับว่ามุ่งเน้นไปที่องค์กรต่างๆ ทั่วอเมริกาเหนือและยุโรป รวมถึงกลุ่มนักวิจัย หน่วยงานของรัฐ องค์กรพัฒนาเอกชน สำนักงานกฎหมาย และภาคส่วนต่างๆ ในอุตสาหกรรมป้องกันประเทศ

นักวิจัยได้ทำการศึกษาบอตเน็ต Quad7 หรือที่เรียกว่า 7777 หรือ xlogin อย่างละเอียดถี่ถ้วนแล้ว มัลแวร์ตัวนี้ได้เน้นโจมตีเราเตอร์ SOHO และอุปกรณ์ VPN จากแบรนด์ดังหลายแบรนด์ เช่น TP-Link, Zyxel, Asus, Axentra, D-Link และ NETGEAR โดยเฉพาะ

อุปกรณ์เหล่านี้ถูกบุกรุกโดยใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยทั้งที่ระบุได้และอาจไม่ทราบเพื่อดำเนินการโค้ดจากระยะไกล ชื่อของบอตเน็ต Quad7 มาจากข้อเท็จจริงที่ว่าเราเตอร์ที่ติดไวรัสมีแบ็กดอร์ที่ดักฟังพอร์ต TCP 7777 ซึ่งทำให้เข้าถึงจากระยะไกลได้

กลยุทธ์ที่แสดงโดย Quad และผู้โจมตี

ณ เดือนกันยายน พ.ศ. 2567 ดูเหมือนว่าบอตเน็ตจะถูกใช้งานเป็นหลักสำหรับการโจมตีแบบบรูทฟอร์ซกับบัญชี Microsoft 365 โดยมีข้อบ่งชี้ว่าผู้ที่สนับสนุนโดยรัฐบาลจีนน่าจะอยู่เบื้องหลังการดำเนินการเหล่านี้

การประเมินของ Microsoft แสดงให้เห็นว่าผู้ดำเนินการบอตเน็ตมีฐานอยู่ในประเทศจีน ซึ่งผู้ก่อภัยคุกคามหลายรายใช้บอตเน็ตเพื่อโจมตีแบบพาสเวิร์ดสเปรย์เพื่อเปิดใช้งานการแสวงประโยชน์จากเครือข่ายเพิ่มเติม กิจกรรมที่ตามมา ได้แก่ การเคลื่อนไหวในแนวขวาง การติดตั้งโทรจันการเข้าถึงระยะไกล (RAT) และความพยายามในการขโมยข้อมูล

Storm-0940 เป็นหนึ่งในผู้ที่ใช้ประโยชน์จากวิธีนี้ โดยสามารถเข้าถึงองค์กรเป้าหมายได้โดยใช้ข้อมูลประจำตัวที่ถูกต้องซึ่งได้รับจากการโจมตีเหล่านี้ ซึ่งมักจะเกิดขึ้นในวันเดียวกับที่ข้อมูลประจำตัวถูกบุกรุก การเปลี่ยนแปลงอย่างรวดเร็วไปสู่การใช้ประโยชน์แบบเจาะจงนี้ชี้ให้เห็นถึงการประสานงานระดับสูงระหว่างผู้ควบคุมบอตเน็ตและ Storm-0940

ในขณะเดียวกัน CovertNetwork-1658 ใช้แนวทางที่จำกัดมากขึ้น โดยมีการพยายามเข้าสู่ระบบจำนวนเล็กน้อยกระจายไปยังหลายบัญชีในองค์กรเป้าหมาย ในประมาณ 80% ของกรณี กิจกรรมจะถูกจำกัดให้มีการพยายามเข้าสู่ระบบเพียงครั้งเดียวต่อบัญชีในแต่ละวัน

Quad7 โจมตีอุปกรณ์นับพันเครื่อง

คาดว่ามีอุปกรณ์ที่ถูกบุกรุกประมาณ 8,000 เครื่องที่ใช้งานอยู่ภายในเครือข่ายในแต่ละช่วงเวลา และมีเพียงประมาณ 20 เปอร์เซ็นต์เท่านั้นที่เข้าร่วมในการโจมตีโดยการสเปรย์รหัสผ่าน

ผู้เชี่ยวชาญได้สังเกตเห็นการลดลงอย่างมีนัยสำคัญในโครงสร้างพื้นฐานของบอตเน็ตหลังจากที่เปิดเผยต่อสาธารณะ ซึ่งชี้ให้เห็นว่าผู้ก่อให้เกิดภัยคุกคามอาจกำลังมองหาโครงสร้างพื้นฐานใหม่ที่มีลายนิ้วมือที่เปลี่ยนแปลงเพื่อหลีกเลี่ยงการตรวจจับ

การใช้โครงสร้างพื้นฐาน CovertNetwork-1658 ทำให้ผู้ก่อภัยคุกคามสามารถเปิดตัวแคมเปญแพร่กระจายรหัสผ่านได้ในระดับที่ใหญ่ขึ้นมาก ซึ่งจะเพิ่มโอกาสในการเจาะข้อมูลประจำตัวสำเร็จและเข้าถึงองค์กรต่างๆ จำนวนมากในช่วงระยะเวลาสั้นๆ ได้อย่างมีนัยสำคัญ

ขอบเขตที่กว้างขวางนี้ ร่วมกับการแลกเปลี่ยนข้อมูลประจำตัวที่ถูกบุกรุกอย่างรวดเร็วระหว่าง CovertNetwork-1658 และผู้ก่อภัยคุกคามชาวจีน ทำให้มีความเสี่ยงของการละเมิดบัญชีเพิ่มขึ้นในหลายภาคส่วนและภูมิภาค

ผู้เชี่ยวชาญที่สังเกตเห็นการชะลอตัวของกิจกรรมบอตเน็ตระบุว่าปริมาณการรับส่งข้อมูลยังคงแสดงให้เห็นว่า Quad7 ยังคงทำงานอยู่ อย่างไรก็ตาม สิ่งสำคัญคือต้องตระหนักว่าการลดลงอย่างเห็นได้ชัดของเราเตอร์ที่ถูกบุกรุกนี้สะท้อนให้เห็นการละเมิดที่มองเห็นได้เท่านั้น มีความเป็นไปได้ที่ผู้ปฏิบัติการ Quad7 ได้พัฒนาวิธีการเพื่อบุกรุกอุปกรณ์อย่างไม่เปิดเผยและหลีกเลี่ยงการตรวจจับ