Quad7 殭屍網絡

網路安全專家發現了一個名為 Storm-0940 的中國威脅行為者，利用名為 Quad7 的殭屍網路進行複雜且規避的密碼噴射攻擊。這個殭屍網路也稱為 CovertNetwork-1658，用於竊取各種 Microsoft 客戶的憑證。 Storm-0940 至少從 2021 年開始運行，透過採用密碼噴射和暴力破解技術或針對網路邊緣應用程式和服務中的漏洞和錯誤配置來獲得初始存取權限。

攻擊者瞄準眾多易受攻擊的設備

Storm-0940 因其對北美和歐洲組織的關注而受到認可，包括智囊團、政府機構、非政府組織、律師事務所和國防工業部門。

Quad7 殭屍網絡，也稱為 7777 或 xlogin，已被研究人員徹底研究過。該惡意軟體特別關注來自多個知名品牌的 SOHO 路由器和 VPN 設備，例如 TP-Link、Zyxel、Asus、Axentra、D-Link 和 NETGEAR。

這些設備透過利用已識別的和潛在未知的安全漏洞來實現遠端程式碼執行而受到損害。這個殭屍網路的名稱為 Quad7，源自於這樣一個事實：受感染的路由器包含一個偵聽 TCP 連接埠 7777 的後門，可實現遠端存取。

四方和攻擊者所展示的戰術

截至 2024 年 9 月，該殭屍網路似乎主要用於對 Microsoft 365 帳戶進行暴力攻擊，有跡象表明中國國家支持的行為者可能是這些操作的幕後黑手。

微軟的評估表明，該殭屍網路的營運商位於中國，一些威脅行為者利用該殭屍網路進行密碼噴射攻擊，以實現進一步的網路利用。這些後續活動包括橫向移動、遠端存取木馬 (RAT) 部署和資料外洩工作。

Storm-0940 就是利用這種方法的人之一。它透過使用透過這些攻擊獲得的有效憑證來存取目標組織——通常是在憑證被洩露的同一天。這種向有針對性的利用的快速轉變表明殭屍網路營運商和 Storm-0940 之間的高度協調。

同時，CovertNetwork-1658 採用了更為克制的方法，少量登入嘗試分佈在目標組織的多個帳戶中。在大約 80% 的情況下，活動僅限於每個帳戶每天一次登入嘗試。

數以千計的設備受到 Quad7 的威脅

據估計，在任何特定時刻，網路中都有 8,000 台受感染的設備處於活動狀態，其中只有約 20% 的設備參與了密碼噴射攻擊。

專家觀察到殭屍網路基礎設施在公開曝光後顯著下降，這表明威脅行為者可能正在尋找指紋被改變的新基礎設施以避免被發現。

利用 CovertNetwork-1658 基礎設施，任何威脅行為者都可以發起更大規模的密碼噴灑活動，從而顯著提高成功洩露憑證並在短時間內獲得對眾多組織的初始訪問權限的機會。

這種廣泛的影響力，再加上 CovertNetwork-1658 和中國威脅行為者之間被盜憑證的快速週轉，增加了各個部門和地區的帳戶被盜的風險。

注意到殭屍網路活動放緩的專家表示，流量仍然表明 Quad7 仍在運行。然而，必須認識到，受感染路由器數量的顯著減少僅反映了可見的違規行為。 Quad7 營運商有可能開發出一些方法來謹慎地破壞設備並避免偵測。