Microsoft a révélé qu’un acteur chinois qu’il suit sous le nom de Storm-0940 exploite un botnet appelé Quad7 pour orchestrer des attaques par pulvérisation de mots de passe très évasives.
Le géant de la technologie a donné au botnet le nom CovertNetwork-1658, indiquant que les opérations de pulvérisation de mots de passe sont utilisées pour voler les informations d’identification de plusieurs clients Microsoft.
« Actif depuis au moins 2021, Storm-0940 obtient un accès initial via des attaques par pulvérisation de mot de passe et par force brute, ou en exploitant ou en utilisant à mauvais escient les applications et services de périphérie du réseau », l’équipe Microsoft Threat Intelligence. dit.
« La tempête-0940 est connue pour cibler des organisations en Amérique du Nord et en Europe, notamment des groupes de réflexion, des organisations gouvernementales, des organisations non gouvernementales, des cabinets d’avocats, des bases industrielles de défense et autres. »
Quad7, alias 7777 ou xlogin, a fait l’objet d’analyses approfondies par Sekoia et Team Cymru ces derniers mois. Le malware botnet a été observé ciblant plusieurs marques de routeurs SOHO et d’appareils VPN, notamment TP-Link, Zyxel, Asus, Axentra, D-Link et NETGEAR.
Ces appareils sont recrutés en exploitant des failles de sécurité connues et encore indéterminées pour acquérir des capacités d’exécution de code à distance. Le nom du botnet fait référence au fait que les routeurs sont infectés par une porte dérobée qui écoute sur le port TCP 7777 pour faciliter l’accès à distance.
Sekoia a déclaré à The Hacker News en septembre 2024 que le botnet était principalement utilisé pour effectuer des tentatives de force brute contre les comptes Microsoft 365, ajoutant que les opérateurs étaient probablement des acteurs parrainés par l’État chinois.
Microsoft a également évalué que les responsables du botnet sont situés en Chine et que plusieurs acteurs malveillants du pays utilisent le botnet pour mener des attaques par pulvérisation de mots de passe dans le cadre d’activités ultérieures d’exploitation de réseaux informatiques (CNE), telles que des mouvements latéraux, le déploiement de systèmes à distance. accéder aux chevaux de Troie et aux tentatives d’exfiltration de données.
Cela inclut Storm-0940, qui, selon lui, a infiltré des organisations cibles en utilisant des informations d’identification valides obtenues via des attaques par pulvérisation de mot de passe, dans certains cas le jour même où les informations d’identification ont été extraites. Le « transfert opérationnel rapide » implique une collaboration étroite entre les opérateurs du botnet et Storm-0940, a souligné la société.
« CovertNetwork-1658 soumet un très petit nombre de tentatives de connexion à de nombreux comptes d’une organisation cible », a déclaré Microsoft. « Dans environ 80 % des cas, CovertNetwork-1658 effectue une seule tentative de connexion par compte et par jour. »
On estime que jusqu’à 8 000 appareils compromis sont actifs sur le réseau à un moment donné, même si seulement 20 % de ces appareils sont impliqués dans la pulvérisation de mots de passe.
Le fabricant de Windows a également averti que l’infrastructure du botnet avait connu un « déclin constant et brutal » suite à sa divulgation publique, évoquant la possibilité que les acteurs de la menace « acquièrent probablement de nouvelles infrastructures avec des empreintes digitales modifiées » pour échapper à la détection.
« Tout acteur malveillant utilisant l’infrastructure CovertNetwork-1658 pourrait mener des campagnes de pulvérisation de mots de passe à plus grande échelle et augmenter considérablement la probabilité de compromission réussie des informations d’identification et d’accès initial à plusieurs organisations dans un court laps de temps », a noté Microsoft.
« Cette ampleur, combinée à une rotation opérationnelle rapide des informations d’identification compromises entre CovertNetwork-1658 et les acteurs de la menace chinoise, permet un potentiel de compromission de comptes dans plusieurs secteurs et régions géographiques. »