A Microsoft revelou que um ator de ameaças chinês, que acompanha como Storm-0940, está utilizando uma botnet chamada Quad7 para organizar ataques de password spray altamente evasivos.
A gigante da tecnologia deu à botnet o nome de CovertNetwork-1658, afirmando que as operações de password spray são usadas para roubar credenciais de vários clientes da Microsoft.
"Ativo desde pelo menos 2021, o Storm-0940 obtém acesso inicial através de ataques de password spray e brute-force, ou explorando ou fazendo uso indevido de aplicações e serviços na borda da rede," disse a equipe da Microsoft Threat Intelligence.
Storm-0940 é conhecido por mirar em organizações na América do Norte e Europa, incluindo think tanks, organizações governamentais, organizações não governamentais, escritórios de advocacia, base industrial de defesa e outros. Quad7, também conhecido como 7777 ou xlogin, foi objeto de análises extensas por Sekoia e Team Cymru nos últimos meses.
O malware da botnet foi observado visando várias marcas de roteadores SOHO e dispositivos de VPN, incluindo TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR.
Esses dispositivos são recrutados explorando falhas de segurança conhecidas e ainda não determinadas para ganhar capacidades de execução de código remoto.
O nome da botnet é uma referência ao fato de que os roteadores são infectados com um backdoor que escuta na porta TCP 7777 para facilitar o acesso remoto.
A Sekoia informou à The Hacker News em setembro de 2024 que a botnet está sendo principalmente usada para realizar tentativas de brute-force contra contas do Microsoft 365, adicionando que os operadores são provavelmente atores patrocinados pelo estado chinês.
A Microsoft também avaliou que os mantenedores da botnet estão localizados na China, e que múltiplos atores de ameaças do país estão usando a botnet para conduzir ataques de password spray para atividades subsequentes de exploração de rede de computadores (CNE), como movimento lateral, implantação de trojans de acesso remoto e tentativas de exfiltração de dados.
Isso inclui o Storm-0940, que, segundo dizem, infiltrou organizações alvo usando credenciais válidas obtidas via os ataques de password spray, em alguns casos no mesmo dia em que as credenciais foram extraídas.
A "rápida passagem operacional" implica uma colaboração estreita entre os operadores da botnet e o Storm-0940, apontou a empresa.
"CovertNetwork-1658 submete um número muito pequeno de tentativas de login em muitas contas em uma organização alvo," disse a Microsoft.
Em cerca de 80% dos casos, CovertNetwork-1658 faz apenas uma tentativa de login por conta por dia.
Estima-se que até 8.000 dispositivos comprometidos estejam ativos na rede a qualquer momento, embora apenas 20% desses dispositivos estejam envolvidos em password spraying.
O fabricante do Windows também alertou que a infraestrutura da botnet tem testemunhado um "declínio constante e acentuado" após a divulgação pública, aumentando a possibilidade de que os atores de ameaças "estejam provavelmente adquirindo nova infraestrutura com impressões digitais modificadas" para evitar a detecção.
"Qualquer ator de ameaça usando a infraestrutura CovertNetwork-1658 poderia conduzir campanhas de password spraying em uma escala maior e aumentar significativamente a probabilidade de comprometimento bem-sucedido de credenciais e acesso inicial a múltiplas organizações em um curto período de tempo," observou a Microsoft.
Esta escala, combinada com a rápida troca operacional de credenciais comprometidas entre CovertNetwork-1658 e atores de ameaças chineses, permite o potencial de comprometimentos de contas em vários setores e regiões geográficas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...