Quad7 Botnet
Siber güvenlik uzmanları, karmaşık ve kaçamak parola püskürtme saldırıları gerçekleştirmek için Quad7 adlı bir botnet kullanan Storm-0940 olarak bilinen bir Çinli tehdit aktörü tespit etti. CovertNetwork-1658 olarak da adlandırılan bu botnet, çeşitli Microsoft müşterilerinden kimlik bilgilerini çalmak için kullanılıyor. En az 2021'den beri faaliyet gösteren Storm-0940, parola püskürtme ve kaba kuvvet tekniklerini kullanarak veya ağ kenarı uygulamaları ve hizmetlerindeki güvenlik açıklarını ve yanlış yapılandırmaları hedef alarak ilk erişimi elde ediyor.
İçindekiler
Saldırganlar Çok Sayıda Güvenlik Açığı Olan Cihazı Hedef Alıyor
Storm-0940, düşünce kuruluşları, hükümet organları, STK'lar, hukuk firmaları ve savunma sanayi sektörleri de dahil olmak üzere Kuzey Amerika ve Avrupa'daki kuruluşlara odaklanmasıyla tanınmaktadır.
Quad7 botnet, 7777 veya xlogin olarak da bilinir, araştırmacılar tarafından kapsamlı bir şekilde incelenmiştir. Bu kötü amaçlı yazılım, TP-Link, Zyxel, Asus, Axentra, D-Link ve NETGEAR gibi birkaç tanınmış markanın SOHO yönlendiricilerine ve VPN cihazlarına özel bir odaklanma göstermiştir.
Bu cihazlar, uzaktan kod yürütmeyi başarmak için hem tanımlanmış hem de potansiyel olarak bilinmeyen güvenlik açıklarından yararlanılarak tehlikeye atılır. Botnet'in adı olan Quad7, enfekte olmuş yönlendiricilerin uzaktan erişimi sağlayan TCP portu 7777'yi dinleyen bir arka kapı içermesinden kaynaklanmaktadır.
Quad ve Saldırganların Gösterdiği Taktikler
Eylül 2024 itibarıyla botnet'in öncelikli olarak Microsoft 365 hesaplarına yönelik kaba kuvvet saldırıları için kullanıldığı görülüyor ve bu operasyonların arkasında Çin devlet destekli aktörlerin olma ihtimali yüksek.
Microsoft'un değerlendirmesi, botnet operatörlerinin Çin'de bulunduğunu ve burada birkaç tehdit aktörü tarafından daha fazla ağ istismarı sağlamak için parola püskürtme saldırıları için kullanıldığını öne sürüyor. Bu takip faaliyetleri arasında yanal hareket, Uzaktan Erişim Truva Atı (RAT) dağıtımı ve veri sızdırma çabaları yer alıyor.
Storm-0940 bu yöntemi kullananlar arasında. Bu saldırılar aracılığıyla elde edilen geçerli kimlik bilgilerini kullanarak hedef kuruluşlara erişim sağladı; genellikle kimlik bilgilerinin tehlikeye atıldığı gün. Hedeflenen istismara bu hızlı geçiş, botnet operatörleri ile Storm-0940 arasında yüksek düzeyde koordinasyon olduğunu gösteriyor.
Bu arada CovertNetwork-1658, hedeflenen bir organizasyonda birden fazla hesaba dağıtılmış az sayıda oturum açma girişimiyle daha kısıtlı bir yaklaşım kullanır. Vakaların yaklaşık %80'inde, etkinlik her gün hesap başına tek bir oturum açma girişimiyle sınırlıdır.
Binlerce Cihaz Quad7 Tarafından Tehlikeye Atıldı
Herhangi bir anda ağda yaklaşık 8.000 adet saldırıya uğramış cihazın aktif olduğu ve bu cihazların yalnızca yaklaşık yüzde 20'sinin parola püskürtme saldırılarına katıldığı tahmin ediliyor.
Uzmanlar, botnet altyapısının kamuoyuna açıklanmasının ardından önemli bir düşüş gözlemlediler. Bu durum, tehdit aktörlerinin tespit edilmekten kaçınmak için değiştirilmiş parmak izlerine sahip yeni bir altyapı arayışında olabileceğini düşündürüyor.
CovertNetwork-1658 altyapısının kullanılması, herhangi bir tehdit aktörünün çok daha büyük ölçekte parola püskürtme kampanyaları başlatmasına olanak tanır ve bu sayede kimlik bilgilerini başarıyla ele geçirme ve kısa sürede çok sayıda kuruluşa ilk erişimi elde etme şansı önemli ölçüde artar.
Bu kapsamlı erişim, CovertNetwork-1658 ile Çinli tehdit aktörleri arasındaki ele geçirilmiş kimlik bilgilerinin hızla değişmesiyle birleşince, çeşitli sektörler ve bölgelerde hesap ele geçirme riskini artırıyor.
Botnet etkinliğindeki yavaşlamayı fark eden uzmanlar, trafiğin hala Quad7'nin çalışır durumda olduğunu gösterdiğini belirtiyor. Ancak, tehlikeye atılan yönlendiricilerdeki bu belirgin azalmanın yalnızca görünür ihlalleri yansıttığını kabul etmek önemlidir. Quad7 operatörlerinin cihazları gizlice tehlikeye atmak ve tespit edilmekten kaçınmak için yöntemler geliştirmiş olma olasılığı vardır.
