Quad7 Botnet
Natukoy ng mga espesyalista sa cybersecurity ang isang Chinese threat actor, na kilala bilang Storm-0940, na gumagamit ng botnet na pinangalanang Quad7 upang magsagawa ng mga sopistikado at nakakaiwas na pag-atake ng password spray. Ang botnet na ito ay tinutukoy din bilang CovertNetwork-1658, ay ginagamit upang magnakaw ng mga kredensyal mula sa iba't ibang mga customer ng Microsoft. Gumagana mula noong hindi bababa sa 2021, nakakakuha ang Storm-0940 ng paunang pag-access sa pamamagitan ng paggamit ng mga diskarte sa pag-spray ng password at brute-force o sa pamamagitan ng pag-target ng mga kahinaan at maling configuration sa mga application at serbisyo sa gilid ng network.
Talaan ng mga Nilalaman
Ang mga Attacker ay Nagta-target ng Maraming Maaapektuhang Device
Kinikilala ang Storm-0940 para sa pagtutok nito sa mga organisasyon sa buong North America at Europe, kabilang ang mga think tank, katawan ng pamahalaan, NGO, law firm, at sektor sa loob ng industriya ng depensa.
Ang Quad7 botnet, na tinatawag ding 7777 o xlogin, ay lubusang pinag-aralan ng mga mananaliksik. Ang malware na ito ay nagpakita ng partikular na pagtuon sa mga SOHO router at VPN device mula sa ilang kilalang brand, gaya ng TP-Link, Zyxel, Asus, Axentra, D-Link at NETGEAR.
Ang mga device na ito ay nakompromiso sa pamamagitan ng pagsasamantala sa parehong natukoy at potensyal na hindi alam na mga kahinaan sa seguridad upang makamit ang remote code execution. Ang pangalan ng botnet, Quad7, ay nagmula sa katotohanan na ang mga nahawaang router ay may kasamang backdoor na nakikinig sa TCP port 7777, na nagpapagana ng malayuang pag-access.
Mga Taktika na Ipinakita ng Quad & Attackers
Noong Setyembre 2024, ang botnet ay lumilitaw na pangunahing naka-deploy para sa mga malupit na pag-atake sa mga Microsoft 365 account, na may mga indikasyon na malamang na nasa likod ng mga operasyong ito ang mga aktor na inisponsor ng estado ng China.
Iminumungkahi ng pagtatasa ng Microsoft na ang mga operator ng botnet ay nakabase sa China, kung saan ginagamit ito ng ilang mga banta na aktor para sa mga pag-atake ng pag-spray ng password upang paganahin ang karagdagang pagsasamantala sa network. Kasama sa mga follow-up na aktibidad na ito ang lateral movement, Remote Access Trojan (RAT) deployment at mga pagsisikap sa pag-exfiltrate ng data.
Ang Storm-0940 ay kabilang sa mga nagsasamantala sa pamamaraang ito. Nakakuha ito ng access sa mga target na organisasyon sa pamamagitan ng paggamit ng mga wastong kredensyal na nakuha sa pamamagitan ng mga pag-atakeng ito—kadalasan sa parehong araw na nakompromiso ang mga kredensyal. Ang mabilis na paglipat na ito sa naka-target na pagsasamantala ay tumutukoy sa isang mataas na antas ng koordinasyon sa pagitan ng mga operator ng botnet at Storm-0940.
Samantala, gumagamit ang CovertNetwork-1658 ng mas pinigilan na diskarte, na may maliit na bilang ng mga pagtatangka sa pag-log in na ipinamahagi sa maraming account sa isang naka-target na organisasyon. Sa humigit-kumulang 80% ng mga kaso, limitado ang aktibidad sa isang pagtatangka sa pag-sign in bawat account bawat araw.
Libu-libong Device ang Nakompromiso ng Quad7
Tinatayang 8,000 nakompromisong device ang pinaniniwalaang aktibo sa loob ng network sa anumang partikular na sandali, na halos 20 porsiyento lang ng mga device na ito ang nakikilahok sa mga pag-atake sa pag-spray ng password.
Naobserbahan ng mga eksperto ang isang makabuluhang pagbaba sa imprastraktura ng botnet kasunod ng pagkakalantad nito sa publiko, na nagmumungkahi na ang mga aktor ng pagbabanta ay maaaring naghahanap ng bagong imprastraktura na may mga binagong fingerprint upang maiwasan ang pagtuklas.
Ang paggamit sa imprastraktura ng CovertNetwork-1658 ay nagbibigay-daan sa sinumang banta ng aktor na maglunsad ng mga kampanya sa pag-spray ng password sa mas malaking sukat, na makabuluhang nagpapahusay sa mga pagkakataong matagumpay na makompromiso ang mga kredensyal at makakuha ng paunang access sa maraming organisasyon sa maikling panahon.
Ang malawak na pag-abot na ito, kasama ng mabilis na paglilipat ng mga nakompromisong kredensyal sa pagitan ng CovertNetwork-1658 at mga aktor ng pagbabanta ng China, ay nagpapataas ng panganib ng mga kompromiso sa account sa iba't ibang sektor at rehiyon.
Ang mga eksperto na nakapansin sa paghina sa aktibidad ng botnet ay nagpapahiwatig na ang trapiko ay nagpapakita pa rin ng Quad7 na nananatiling gumagana. Gayunpaman, mahalagang kilalanin na ang kapansin-pansing pagbaba sa mga nakompromisong router ay nagpapakita lamang ng mga nakikitang paglabag. May posibilidad na ang mga operator ng Quad7 ay nakabuo ng mga pamamaraan upang maingat na ikompromiso ang mga device at maiwasan ang pagtuklas.
