Mạng bot Quad7
Các chuyên gia an ninh mạng đã xác định được một tác nhân đe dọa Trung Quốc, được gọi là Storm-0940, sử dụng một botnet có tên Quad7 để thực hiện các cuộc tấn công phun mật khẩu tinh vi và khó phát hiện. Botnet này còn được gọi là CovertNetwork-1658, được sử dụng để đánh cắp thông tin đăng nhập từ nhiều khách hàng của Microsoft. Hoạt động từ ít nhất năm 2021, Storm-0940 có được quyền truy cập ban đầu bằng cách sử dụng các kỹ thuật phun mật khẩu và tấn công bằng vũ lực hoặc bằng cách nhắm mục tiêu vào các lỗ hổng và cấu hình sai trong các ứng dụng và dịch vụ biên mạng.
Mục lục
Kẻ tấn công nhắm vào nhiều thiết bị dễ bị tấn công
Storm-0940 được công nhận vì tập trung vào các tổ chức trên khắp Bắc Mỹ và Châu Âu, bao gồm các nhóm nghiên cứu, cơ quan chính phủ, tổ chức phi chính phủ, công ty luật và các lĩnh vực trong ngành công nghiệp quốc phòng.
Botnet Quad7, còn được gọi là 7777 hoặc xlogin, đã được các nhà nghiên cứu nghiên cứu kỹ lưỡng. Phần mềm độc hại này đã cho thấy sự tập trung đặc biệt vào các bộ định tuyến SOHO và thiết bị VPN từ một số thương hiệu nổi tiếng, chẳng hạn như TP-Link, Zyxel, Asus, Axentra, D-Link và NETGEAR.
Các thiết bị này bị xâm phạm bằng cách lợi dụng cả lỗ hổng bảo mật đã xác định và có khả năng chưa biết để thực hiện mã từ xa. Tên của botnet, Quad7, bắt nguồn từ thực tế là các bộ định tuyến bị nhiễm bao gồm một cửa hậu lắng nghe trên cổng TCP 7777, cho phép truy cập từ xa.
Chiến thuật được thể hiện bởi Quad & Attackers
Tính đến tháng 9 năm 2024, botnet này có vẻ như chủ yếu được triển khai để tấn công bằng vũ lực vào các tài khoản Microsoft 365, có dấu hiệu cho thấy các tác nhân được nhà nước Trung Quốc tài trợ có khả năng đứng sau các hoạt động này.
Đánh giá của Microsoft cho thấy những người điều hành mạng botnet có trụ sở tại Trung Quốc, nơi một số tác nhân đe dọa sử dụng nó để tấn công bằng mật khẩu nhằm khai thác mạng lưới sâu hơn. Các hoạt động tiếp theo này bao gồm di chuyển ngang, triển khai Trojan truy cập từ xa (RAT) và các nỗ lực đánh cắp dữ liệu.
Storm-0940 nằm trong số những kẻ khai thác phương pháp này. Nó đã truy cập vào các tổ chức mục tiêu bằng cách sử dụng thông tin xác thực hợp lệ thu được thông qua các cuộc tấn công này—thường là vào cùng ngày thông tin xác thực bị xâm phạm. Sự chuyển đổi nhanh chóng này sang khai thác mục tiêu chỉ ra mức độ phối hợp cao giữa các nhà điều hành mạng botnet và Storm-0940.
Trong khi đó, CovertNetwork-1658 sử dụng cách tiếp cận hạn chế hơn, với một số lượng nhỏ các lần đăng nhập được phân bổ trên nhiều tài khoản tại một tổ chức mục tiêu. Trong khoảng 80% trường hợp, hoạt động bị giới hạn ở một lần đăng nhập duy nhất cho mỗi tài khoản mỗi ngày.
Hàng ngàn thiết bị bị xâm phạm bởi Quad7
Người ta ước tính có khoảng 8.000 thiết bị bị xâm phạm đang hoạt động trong mạng tại bất kỳ thời điểm nào, trong đó chỉ có khoảng 20 phần trăm các thiết bị này tham gia vào các cuộc tấn công rải mật khẩu.
Các chuyên gia đã quan sát thấy sự suy giảm đáng kể trong cơ sở hạ tầng botnet sau khi nó bị công khai, cho thấy rằng những kẻ tấn công có thể đang tìm kiếm cơ sở hạ tầng mới với dấu vân tay đã thay đổi để tránh bị phát hiện.
Việc sử dụng cơ sở hạ tầng CovertNetwork-1658 cho phép bất kỳ tác nhân đe dọa nào cũng có thể triển khai các chiến dịch phát tán mật khẩu trên quy mô lớn hơn nhiều, tăng đáng kể khả năng xâm phạm thông tin đăng nhập thành công và có được quyền truy cập ban đầu vào nhiều tổ chức trong thời gian ngắn.
Phạm vi tiếp cận rộng rãi này, cùng với việc thông tin đăng nhập bị xâm phạm nhanh chóng giữa CovertNetwork-1658 và các tác nhân đe dọa từ Trung Quốc, làm tăng nguy cơ xâm phạm tài khoản ở nhiều lĩnh vực và khu vực khác nhau.
Các chuyên gia đã ghi nhận sự chậm lại trong hoạt động của botnet cho biết lưu lượng truy cập vẫn cho thấy Quad7 vẫn hoạt động. Tuy nhiên, điều cần thiết là phải nhận ra rằng sự sụt giảm đáng kể này trong các bộ định tuyến bị xâm phạm chỉ phản ánh các vi phạm có thể nhìn thấy được. Có khả năng là các nhà điều hành Quad7 đã phát triển các phương pháp để xâm phạm các thiết bị một cách kín đáo và tránh bị phát hiện.
