Ботнет Quad7
Фахівці з кібербезпеки ідентифікували китайського загрозливого актора, відомого як Storm-0940, який використовує ботнет під назвою Quad7 для проведення складних і обхідних атак із застосуванням пароля. Цей ботнет, який також називають CovertNetwork-1658, використовується для викрадення облікових даних у різних клієнтів Microsoft. Працюючи принаймні з 2021 року, Storm-0940 отримує початковий доступ, використовуючи методи розпилення паролів і підбіру або виявляючи вразливості та неправильні конфігурації в мережевих додатках і службах.
Зміст
Зловмисники націлені на численні вразливі пристрої
Storm-0940 визнано своєю зосередженістю на організаціях у Північній Америці та Європі, включаючи аналітичні центри, урядові органи, неурядові організації, юридичні фірми та сектори оборонної промисловості.
Ботнет Quad7, також званий 7777 або xlogin, був ретельно вивчений дослідниками. Це зловмисне програмне забезпечення виявило особливу увагу до маршрутизаторів SOHO та пристроїв VPN від кількох відомих брендів, таких як TP-Link, Zyxel, Asus, Axentra, D-Link і NETGEAR.
Ці пристрої скомпрометовані, використовуючи як ідентифіковані, так і потенційно невідомі вразливості безпеки для досягнення дистанційного виконання коду. Назва ботнету Quad7 походить від того факту, що заражені маршрутизатори включають бекдор, який прослуховує TCP-порт 7777, що забезпечує віддалений доступ.
Тактика, яку демонструють квадроцикли та атакуючі
Станом на вересень 2024 року ботнет, здається, в основному розгортається для атак грубою силою на облікові записи Microsoft 365, і є ознаки того, що за цими операціями, ймовірно, стоять суб’єкти, спонсоровані Китаєм.
Оцінка Microsoft свідчить про те, що оператори ботнету розташовані в Китаї, де кілька дійових осіб використовують його для атак розпиленням паролів, щоб забезпечити подальшу експлуатацію мережі. Ці подальші дії включають переміщення вбік, розгортання трояна віддаленого доступу (RAT) і спроби вилучення даних.
Storm-0940 є одним із тих, хто використовує цей метод. Він отримував доступ до цільових організацій, використовуючи дійсні облікові дані, отримані під час цих атак, часто в той самий день, коли облікові дані було зламано. Цей швидкий перехід до цільової експлуатації вказує на високий рівень координації між операторами ботнету та Storm-0940.
Тим часом CovertNetwork-1658 використовує більш стриманий підхід із невеликою кількістю спроб входу, розподілених між кількома обліковими записами в цільовій організації. Приблизно у 80% випадків діяльність обмежена однією спробою входу в обліковий запис щодня.
Тисячі пристроїв зламані Quad7
Вважається, що в будь-який момент часу в мережі активні близько 8000 скомпрометованих пристроїв, причому лише близько 20 відсотків цих пристроїв беруть участь в атаках з використанням пароля.
Експерти помітили значний занепад інфраструктури ботнету після його публічного викриття, що свідчить про те, що зловмисники можуть шукати нову інфраструктуру зі зміненими відбитками пальців, щоб уникнути виявлення.
Використання інфраструктури CovertNetwork-1658 дає змогу будь-якому учаснику загрози запускати кампанії розпилення паролів у значно більшому масштабі, значно підвищуючи шанси на успішний злом облікових даних і отримання первинного доступу до багатьох організацій за короткий період.
Це широке охоплення в поєднанні зі швидким обміном скомпрометованих облікових даних між CovertNetwork-1658 і китайськими загрозливими суб’єктами підвищує ризик компрометації облікових записів у різних секторах і регіонах.
Експерти, які помітили уповільнення активності ботнету, вказують, що трафік все ще показує, що Quad7 залишається в робочому стані. Однак важливо визнати, що це помітне зменшення скомпрометованих маршрутизаторів відображає лише видимі порушення. Існує ймовірність того, що оператори Quad7 розробили методи непомітного зламу пристроїв і уникнення їх виявлення.
