A Microsoft alerta que atores de ameaças chineses utilizam a botnet Quad7, composta por roteadores SOHO hackeados, para roubar credenciais em ataques de pulverização de senhas (password-spray).
Quad7, também conhecida como CovertNetwork-1658 ou xlogin, é uma botnet inicialmente descoberta pelo pesquisador de segurança Gi7w0rm e consiste em roteadores SOHO comprometidos.
Relatórios posteriores da Sekoia e da Team Cymru relataram que os atores de ameaça estão mirando roteadores e dispositivos de rede de marcas como TP-Link, ASUS, dispositivos wireless Ruckus, dispositivos NAS da Axentra e appliances VPN da Zyxel.
Quando os dispositivos são comprometidos, os atores de ameaças implantam malware personalizado que permite o acesso remoto aos dispositivos via Telnet, exibindo banners de boas-vindas únicos baseados no dispositivo comprometido:
- xlogin – Telnet vinculado à porta TCP 7777 em roteadores TP-Link
- alogin – Telnet vinculado à porta TCP 63256 em roteadores ASUS
- rlogin – Telnet vinculado à porta TCP 63210 em dispositivos wireless Ruckus.
- axlogin – Banner do Telnet em dispositivos NAS da Axentra (porta desconhecida, pois não observada na prática)
- zylogin – Telnet vinculado à porta TCP 3256 em appliances VPN da Zyxel
Após a instalação, os atores de ameaças instalam um servidor proxy SOCKS5 que é usado para retransmitir ataques maliciosos, misturando-se ao tráfego legítimo para evitar detecção.
Embora a botnet não tivesse sido atribuída a um ator de ameaça específico, a Team Cymru rastreou o software proxy usado nesses roteadores até um usuário residente em Hangzhou, China.
A Microsoft divulgou hoje que acredita-se que a botnet Quad7 opere a partir da China, com vários atores de ameaças chineses utilizando os roteadores comprometidos para roubar credenciais através de ataques de pulverização de senhas.
"A Microsoft avalia que as credenciais adquiridas das operações de pulverização de senhas da CovertNetwork-1658 são usadas por vários atores de ameaças chineses," diz a Microsoft em um novo relatório.
Em particular, a Microsoft observou o ator de ameaça chinês Storm-0940 utilizando credenciais da CovertNetwork-1658.
Ao conduzir os ataques de pulverização de senhas, a Microsoft diz que os atores de ameaças não são agressivos, apenas tentando fazer login algumas vezes por conta, provavelmente para evitar ativar quaisquer alarmes.
"Nessas campanhas, CovertNetwork-1658 submete um número muito pequeno de tentativas de login para muitas contas em uma organização alvo," compartilhou a Microsoft.
Em cerca de 80% dos casos, a CovertNetwork-1658 faz apenas uma tentativa de login por conta por dia.
No entanto, uma vez que as credenciais são roubadas, a Microsoft observou o Storm-0940 utilizando-as para invadir redes visadas, às vezes no mesmo dia em que foram roubadas.
Uma vez que a rede é invadida, os atores de ameaças se espalham ainda mais pela rede, extraindo credenciais e instalando RATs e ferramentas de proxy para persistência na rede.
O objetivo final do ataque é exfiltrar dados da rede visada, provavelmente com fins de espionagem cibernética.
Até o momento, os pesquisadores não determinaram precisamente como os atores de ameaça da Quad7 estão comprometendo roteadores SOHO e outros dispositivos de rede.
No entanto, a Sekoia observou um de seus honeypots sendo violado pelos atores de ameaça da Quad7 utilizando um zero-day do OpenWRT.
"Esperamos menos de uma semana antes de observar um ataque notável que encadeou uma divulgação de arquivo não autenticado, que parece não ser público até o momento (de acordo com uma pesquisa no Google) e uma injeção de comando," explicou a Sekoia em julho.
Como os atores de ameaças estão violando outros dispositivos permanece um mistério.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...