Корпорация Microsoft заявила об обнаружении сложной кибератаки, осуществляемой китайской группой Storm-0940, применяющей ботнет Quad7, также известный как CovertNetwork-1658, в целях атак по методике «распыления паролей». Эти действия направлены на похищение учетных данных у ряда клиентов Microsoft, включая учреждения в Северной Америке и Европе, такие как исследовательские центры, государственные и неправительственные организации, юридические фирмы и оборонные предприятия.
Группа Storm-0940 действует как минимум с 2021 года, получая начальный доступ с помощью атак на пароли и подбором, а также через эксплуатацию или ненадлежащее использование сетевых приложений и услуг. Ботнет Quad7 нацелен на множество моделей маршрутизаторов SOHO и устройств VPN, таких как TP-Link, Zyxel, Asus, Axentra, D-Link и NETGEAR, используя как известные, так и ещё не обнаруженные уязвимости безопасности, для получения возможности удаленного выполнения команд.
Вредоносное ПО ботнета внедряет на устройства бэкдор, который контролирует порт TCP 7777 для упрощения удаленного доступа. Предполагается, что в любой момент в сети действует около 8000 заражённых устройств, хотя только 20% из них используются для атак по распылению паролей.
Microsoft выяснила, что операторы ботнета находятся в Китае, и множество злоумышленников из этой страны задействуют ботнет для атак с целью дальнейшего получения доступа к компьютерным сетям (CNE), например, для внедрения троянов удаленного доступа и кражи данных.
Группа Storm-0940, в частности, проникала в целевые организации, используя настоящие учетные данные, полученные в результате атак по подбору паролей, иногда в тот же день, когда были украдены данные.
Microsoft также отметила, что после публичного обнародования информации о ботнете его инфраструктура показывает «устойчивое и значительное снижение активности», что указывает на вероятность того, что злоумышленники, вероятно, приобретают новую инфраструктуру с модификациями, чтобы избежать обнаружения.
Источник: iXBT
