Microsoft ha revelado que un actor de amenazas chino al que rastrea como Storm-0940 está aprovechando una botnet llamada Quad7 para orquestar ataques de pulverización de contraseñas altamente evasivos.
El gigante tecnológico le ha dado a la botnet el nombre CovertNetwork-1658, indicando que las operaciones de pulverización de contraseñas se utilizan para robar credenciales de varios clientes de Microsoft.
“Activo desde al menos 2021, Storm-0940 obtiene acceso inicial mediante pulverización de contraseñas y ataques de fuerza bruta, o explotando o haciendo un mal uso de aplicaciones y servicios de borde de red”, dijo el equipo de Microsoft Threat Intelligence. dicho.
“Se sabe que Storm-0940 apunta a organizaciones en América del Norte y Europa, incluidos grupos de expertos, organizaciones gubernamentales, organizaciones no gubernamentales, firmas de abogados, bases industriales de defensa y otras”.
Quad7, también conocido como 7777 o xlogin, ha sido objeto de extensos análisis por parte de Sekoia y Team Cymru en los últimos meses. Se ha observado que el malware botnet tiene como objetivo varias marcas de enrutadores SOHO y dispositivos VPN, incluidos TP-Link, Zyxel, Asus, Axentra, D-Link y NETGEAR.
Estos dispositivos se reclutan explotando fallas de seguridad conocidas y aún no determinadas para obtener capacidades de ejecución remota de código. El nombre de la botnet es una referencia al hecho de que los enrutadores están infectados con una puerta trasera que escucha en el puerto TCP 7777 para facilitar el acceso remoto.
Sekoia dijo a The Hacker News en septiembre de 2024 que la botnet se utiliza principalmente para realizar intentos de fuerza bruta contra cuentas de Microsoft 365, y agregó que los operadores probablemente sean actores patrocinados por el estado chino.
Microsoft también ha evaluado que los mantenedores de la botnet están ubicados en China, y que múltiples actores de amenazas del país están utilizando la botnet para realizar ataques de pulverización de contraseñas para actividades posteriores de explotación de redes informáticas (CNE), como el movimiento lateral, el despliegue de troyanos de acceso e intentos de filtración de datos.
Esto incluye Storm-0940, que, según dijo, se ha infiltrado en organizaciones objetivo utilizando credenciales válidas obtenidas mediante ataques de pulverización de contraseñas, en algunos casos el mismo día en que se extrajeron las credenciales. La “transmisión operativa rápida” implica una estrecha colaboración entre los operadores de botnets y Storm-0940, señaló la empresa.
“CovertNetwork-1658 envía una cantidad muy pequeña de intentos de inicio de sesión a muchas cuentas en una organización objetivo”, dijo Microsoft. “En aproximadamente el 80 por ciento de los casos, CovertNetwork-1658 realiza sólo un intento de inicio de sesión por cuenta por día”.
Se estima que hasta 8.000 dispositivos comprometidos están activos en la red en un momento dado, aunque sólo el 20 por ciento de esos dispositivos están involucrados en la pulverización de contraseñas.
El fabricante de Windows también advirtió que la infraestructura de botnet ha sido testigo de una “disminución constante y pronunciada” luego de la divulgación pública, lo que plantea la posibilidad de que los actores de amenazas “probablemente adquieran nueva infraestructura con huellas dactilares modificadas” para evadir la detección.
“Cualquier actor de amenazas que utilice la infraestructura CovertNetwork-1658 podría llevar a cabo campañas de pulverización de contraseñas a mayor escala y aumentar en gran medida la probabilidad de comprometer con éxito las credenciales y el acceso inicial a múltiples organizaciones en un corto período de tiempo”, señaló Microsoft.
“Esta escala, combinada con la rápida rotación operativa de credenciales comprometidas entre CovertNetwork-1658 y los actores de amenazas chinos, permite el potencial de compromisos de cuentas en múltiples sectores y regiones geográficas”.