Microsoft heeft onthuld dat een Chinese bedreigingsacteur die het volgt als Storm-0940 een botnet genaamd Quad7 gebruikt om zeer ontwijkende wachtwoordspray-aanvallen te orkestreren.
De technologiegigant heeft het botnet de naam CovertNetwork-1658 gegeven, waarin staat dat de wachtwoordspray-operaties worden gebruikt om inloggegevens van meerdere Microsoft-klanten te stelen.
“Storm-0940 is actief sinds ten minste 2021 en verkrijgt initiële toegang via wachtwoordspray en brute-force-aanvallen, of door netwerkrandapplicaties en -diensten te exploiteren of te misbruiken”, aldus het Microsoft Threat Intelligence-team.
“Het is bekend dat Storm-0940 zich richt op organisaties in Noord-Amerika en Europa, waaronder denktanks, overheidsorganisaties, niet-gouvernementele organisaties, advocatenkantoren, industriële defensiebasissen en anderen.”
Quad7, oftewel 7777 of xlogin, is de afgelopen maanden het onderwerp geweest van uitgebreide analyses door Sekoia en Team Cymru. Er is waargenomen dat de botnet-malware zich richt op verschillende merken SOHO-routers en VPN-apparaten, waaronder TP-Link, Zyxel, Asus, Axentra, D-Link en NETGEAR.
Deze apparaten worden gerecruteerd door gebruik te maken van bekende en nog onbepaalde beveiligingsfouten om op afstand code-uitvoeringsmogelijkheden te verkrijgen. De naam van het botnet verwijst naar het feit dat de routers zijn geïnfecteerd met een achterdeur die luistert op TCP-poort 7777 om toegang op afstand te vergemakkelijken.
Sekoia vertelde in september 2024 aan The Hacker News dat het botnet voornamelijk wordt gebruikt om brute force-pogingen uit te voeren tegen Microsoft 365-accounts, en voegde eraan toe dat de operators waarschijnlijk door de Chinese staat gesponsorde actoren zijn.
Microsoft heeft ook vastgesteld dat de beheerders van het botnet zich in China bevinden en dat meerdere bedreigingsactoren uit het land het botnet gebruiken om wachtwoordspray-aanvallen uit te voeren voor vervolgactiviteiten op het gebied van computernetwerkexploitatie (CNE), zoals laterale verplaatsing, de inzet van toegang krijgen tot trojans en pogingen tot gegevensexfiltratie.
Dit geldt ook voor Storm-0940, waarvan wordt gezegd dat het doelorganisaties heeft geïnfiltreerd met behulp van geldige inloggegevens verkregen via de wachtwoordspray-aanvallen, in sommige gevallen op dezelfde dag dat de inloggegevens werden geëxtraheerd. De “snelle operationele overdracht” impliceert een nauwe samenwerking tussen de botnetbeheerders en Storm-0940, benadrukt het bedrijf.
“CovertNetwork-1658 verzendt een zeer klein aantal aanmeldingspogingen naar veel accounts bij een doelorganisatie”, aldus Microsoft. “In ongeveer 80 procent van de gevallen doet CovertNetwork-1658 slechts één inlogpoging per account per dag.”
Er wordt geschat dat er op elk moment maar liefst 8.000 gecompromitteerde apparaten actief zijn in het netwerk, hoewel slechts 20 procent van deze apparaten betrokken is bij het verspreiden van wachtwoorden.
De Windows-maker waarschuwde ook dat de botnetinfrastructuur getuige is geweest van een “gestage en steile achteruitgang” na publieke onthulling, waardoor de mogelijkheid wordt vergroot dat de bedreigingsactoren “waarschijnlijk nieuwe infrastructuur verwerven met aangepaste vingerafdrukken” om detectie te omzeilen.
“Elke bedreigingsacteur die de CovertNetwork-1658-infrastructuur gebruikt, zou op grotere schaal campagnes voor het sproeien van wachtwoorden kunnen uitvoeren en de kans op een succesvolle inbreuk op de inloggegevens en initiële toegang tot meerdere organisaties in korte tijd aanzienlijk kunnen vergroten”, aldus Microsoft.
“Deze schaal, gecombineerd met een snelle operationele uitwisseling van gecompromitteerde inloggegevens tussen CovertNetwork-1658 en Chinese bedreigingsactoren, maakt het potentieel van accountcompromis in meerdere sectoren en geografische regio’s mogelijk.”