A Storm-0940 a Quad7 botnetet használja a hitelesítő adatok ellopására
2023 augusztusa óta a Microsoft olyan behatolási tevékenységet figyelt meg, amely több Microsoft-ügyféltől célzott meg és sikeresen ellopta a hitelesítő adatokat, amelyet rendkívül kitérő password spraying támadások tettek lehetővé. A Microsoft a password spraying támadások forrását egy olyan kompromittált eszközökből álló hálózathoz kapcsolta, amelyet CovertNetwork-1658 néven, más néven xlogin és Quad7 (7777) néven követnek nyomon.
A Microsoft értékelése szerint a CovertNetwork-1658 password spraying műveletekből szerzett hitelesítő adatokat több kínai fenyegető szereplő is használja. A Microsoft különösen a Storm-0940 kínai kiberszereplőt figyelte meg, amely a CovertNetwork-1658-ból származó hitelesítő adatokat használja. A Storm-0940 legalább 2021 óta aktív, és a kezdeti hozzáférést password spraying és brute force támadások révén, illetve hálózati peremalkalmazások és -szolgáltatások kihasználásával szerzi meg. A Storm-0940 ismert célpontjai észak-amerikai és európai szervezetek, köztük agytrösztök, kormányzati szervezetek, nem kormányzati szervezetek, ügyvédi irodák, vagy védelmi ipari bázis. Mint minden megfigyelt nemzetállami fenyegető tevékenység esetén, a Microsoft közvetlenül értesítette a célzott vagy kompromittált ügyfeleket, és fontos információkat szolgáltatott számukra, hogy segítsék környezetük védelmét.
A Quad7 egy botnet, amely kompromittált SOHO routerekből áll. A kiberbiztonsági szakemberek arról számoltak be, hogy a fenyegető szereplők a TP-Link, ASUS hálózati eszközöket, Ruckus vezeték nélküli eszközöket, Axentra NAS eszközöket és Zyxel VPN-eket veszik célba a kampányban. A fenyegető szereplők speciálisan kialakított kártékony kódokat használnak arra, hogy Telneten keresztül távoli hozzáférést szerezzenek a megtámadott eszközökhöz. A sérülékeny routerekhez való sikeres hozzáférés megszerzése után a következő lépéseket teszi meg a kiberszereplő, hogy felkészítse az routert a password spraying műveletekre:
- Telnet bináris állomány letöltése egy távoli FTP-kiszolgálóról (File Transfer Protocol);
- xlogin backdoor bináris letöltése egy távoli FTP-kiszolgálóról;
- A letöltött Telnet és xlogin binárisok felhasználásával egy access-controlled command shell elindítása a 7777-es TCP porton;
- Csatlakozás és hitelesítés a 7777-es TCP porton figyelő xlogin backdoorhoz;
- SOCKS5 szerver binárisának letöltése a routerre;
- SOCKS5 szerver indítása az 11288-as TCP porton.
