Quad7 僵尸网络

网络安全专家发现，一个名为 Storm-0940 的中国威胁行为者正在利用一个名为 Quad7 的僵尸网络进行复杂且具有规避性的密码喷洒攻击。该僵尸网络也称为 CovertNetwork-1658，用于窃取各种 Microsoft 客户的凭据。Storm-0940 至少从 2021 年开始运营，通过使用密码喷洒和暴力破解技术或针对网络边缘应用程序和服务中的漏洞和错误配置来获得初始访问权限。

攻击者瞄准大量易受攻击的设备

Storm-0940 因关注北美和欧洲的组织而闻名，包括智库、政府机构、非政府组织、律师事务所和国防工业部门。

Quad7 僵尸网络（也称为 7777 或 xlogin）已得到研究人员的深入研究。该恶意软件特别关注来自多个知名品牌的 SOHO 路由器和 VPN 设备，例如 TP-Link、Zyxel、Asus、Axentra、D-Link 和 NETGEAR。

这些设备利用已发现和可能未知的安全漏洞来实现远程代码执行，从而受到攻击。该僵尸网络的名称 Quad7 源于受感染的路由器包含一个后门，该后门会监听 TCP 端口 7777，从而实现远程访问。

四方会谈和攻击者展示的战术

截至 2024 年 9 月，该僵尸网络似乎主要用于对 Microsoft 365 帐户进行暴力攻击，有迹象表明这些行动背后很可能是中国国家支持的行为者。

微软的评估表明，该僵尸网络的运营商位于中国，一些威胁行为者利用该网络进行密码喷洒攻击，以进一步利用网络。这些后续活动包括横向移动、远程访问木马 (RAT) 部署和数据泄露工作。

Storm-0940 就是利用这种方法的组织之一。它利用通过这些攻击获得的有效凭证访问目标组织，通常是在凭证被盗的当天。这种快速转向有针对性的利用表明僵尸网络运营商和 Storm-0940 之间存在高度的协调。

与此同时，CovertNetwork-1658 采用了更为克制的方法，将少量登录尝试分散到目标组织的多个账户中。在约 80% 的案例中，活动仅限于每个账户每天一次登录尝试。

Quad7 感染数千台设备

据估计，在任何特定时刻，网络中活跃着约 8,000 台受感染的设备，其中只有约 20％ 的设备参与了密码喷洒攻击。

专家们发现，僵尸网络基础设施在公开曝光后显著减少，这表明威胁行为者可能正在寻找具有改变的指纹的新基础设施以避免被发现。

利用 CovertNetwork-1658 基础设施，任何威胁行为者都可以发起更大规模的密码喷洒活动，大大提高在短时间内成功窃取凭证并获得众多组织的初始访问权的机会。

这种广泛的影响，再加上 CovertNetwork-1658 与中国威胁行为者之间泄露凭证的快速流动，增加了各个行业和地区账户泄露的风险。

注意到僵尸网络活动放缓的专家表示，流量仍然表明 Quad7 仍在运行。然而，必须认识到，受感染路由器数量的明显下降仅反映了可见的漏洞。Quad7 运营商可能已经开发出秘密入侵设备并避免被发现的方法。