Microsoft đã tiết lộ rằng một tác nhân đe dọa từ Trung Quốc, được họ theo dõi với tên Storm-0940, đang sử dụng botnet mang tên Quad7 để tiến hành các cuộc tấn công mật khẩu dạng “password spray” cực kỳ khó phát hiện.
Gã khổng lồ công nghệ đã đặt tên cho botnet này là CovertNetwork-1658 và cho biết các hoạt động password spray này được dùng để đánh cắp thông tin đăng nhập từ nhiều khách hàng của Microsoft.
“Tồn tại từ ít nhất là năm 2021, Storm-0940 có được quyền truy cập ban đầu thông qua các cuộc tấn công password spray và brute-force, hoặc khai thác các ứng dụng và dịch vụ biên mạng,” nhóm Tình báo Đe dọa của Microsoft cho biết.
An ninh mạng
“Storm-0940 được biết đến với việc nhắm vào các tổ chức tại Bắc Mỹ và Châu Âu, bao gồm các tổ chức nghiên cứu, chính phủ, tổ chức phi chính phủ, công ty luật, các cơ sở công nghiệp quốc phòng và nhiều đối tượng khác.”
Quad7, còn gọi là 7777 hoặc xlogin, đã là chủ đề của nhiều phân tích chuyên sâu bởi Sekoia và Team Cymru trong những tháng gần đây. Phần mềm độc hại của botnet này được quan sát là tấn công nhiều thương hiệu router và thiết bị VPN SOHO, bao gồm TP-Link, Zyxel, Asus, Axentra, D-Link, và NETGEAR.
Các thiết bị này được thu nạp vào mạng botnet thông qua việc khai thác các lỗ hổng bảo mật đã biết hoặc chưa xác định để có khả năng thực thi mã từ xa. Tên của botnet đề cập đến việc các router bị nhiễm được cài đặt backdoor nghe trên cổng TCP 7777 để tạo điều kiện truy cập từ xa.
Botnet Trung Quốc
Sekoia đã chia sẻ với The Hacker News vào tháng 9 năm 2024 rằng botnet này chủ yếu được sử dụng để thực hiện các cuộc tấn công brute-force nhắm vào các tài khoản Microsoft 365, đồng thời cho biết các đối tượng điều khiển botnet có khả năng là tác nhân do nhà nước Trung Quốc bảo trợ.
Microsoft cũng nhận định rằng các đối tượng quản lý botnet này ở Trung Quốc và rằng nhiều tác nhân đe dọa từ quốc gia này đang sử dụng botnet để tiến hành các cuộc tấn công password spray nhằm thực hiện các hoạt động khai thác mạng máy tính (CNE) tiếp theo, chẳng hạn như di chuyển ngang (lateral movement), triển khai trojan truy cập từ xa, và nỗ lực trích xuất dữ liệu.
Điều này bao gồm Storm-0940, mà Microsoft cho biết đã xâm nhập vào các tổ chức mục tiêu bằng cách sử dụng thông tin đăng nhập hợp lệ có được thông qua các cuộc tấn công password spray, trong một số trường hợp chỉ trong cùng ngày thông tin đăng nhập bị đánh cắp. “Chuyển giao nhanh chóng” này ngụ ý có sự hợp tác chặt chẽ giữa các đối tượng điều khiển botnet và Storm-0940, Microsoft lưu ý.
“CovertNetwork-1658 thực hiện một số lượng rất ít các lần đăng nhập vào nhiều tài khoản trong một tổ chức mục tiêu,” Microsoft cho biết. “Trong khoảng 80% trường hợp, CovertNetwork-1658 chỉ thực hiện một lần đăng nhập vào mỗi tài khoản mỗi ngày.”
An ninh mạng
Ước tính có tới 8.000 thiết bị bị xâm nhập đang hoạt động trong mạng botnet vào bất kỳ thời điểm nào, mặc dù chỉ 20% trong số đó tham gia vào các cuộc tấn công password spray.
Nhà sản xuất Windows cũng cảnh báo rằng cơ sở hạ tầng của botnet đã chứng kiến sự “sụt giảm đều và mạnh” sau khi được công khai, cho thấy rằng các tác nhân đe dọa có khả năng đang “mua sắm cơ sở hạ tầng mới với dấu vân tay đã thay đổi” để tránh bị phát hiện.
“Bất kỳ tác nhân đe dọa nào sử dụng cơ sở hạ tầng CovertNetwork-1658 có thể tiến hành các chiến dịch password spray ở quy mô lớn hơn và tăng đáng kể khả năng thành công trong việc chiếm quyền truy cập thông tin đăng nhập ban đầu vào nhiều tổ chức trong thời gian ngắn,” Microsoft lưu ý.
“Quy mô này, kết hợp với sự chuyển giao nhanh chóng các thông tin đăng nhập bị xâm nhập giữa CovertNetwork-1658 và các tác nhân đe dọa Trung Quốc, cho phép nguy cơ xảy ra các cuộc tấn công tài khoản trên nhiều lĩnh vực và khu vực địa lý.”
Nguồn: https://thehackernews.com/
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment