Microsoft, parola püskürtme saldırıları gerçekleştirmek için CovertNetwork-1658 olarak da bilinen Quad7 botnet’ini kullanan Çinli grup Storm-0940’ın oluşturduğu karmaşık bir siber tehdit tespit etti. Bu saldırılar, Kuzey Amerika ve Avrupa’daki düşünce kuruluşları, devlet kurumları, sivil toplum kuruluşları, hukuk firmaları ve savunma sanayii üsleri gibi kuruluşlar da dahil olmak üzere birçok Microsoft müşterisinin kimlik bilgilerini çalmayı amaçlıyor.
Storm-0940, en az 2021’den beri aktiftir ve ilk erişimi şifre ve kaba kuvvet saldırıları yoluyla ve ağ uygulamaları ve hizmetlerinin kötüye kullanılması veya kötüye kullanılması yoluyla elde eder. Quad7 botnet, uzaktan kod yürütme yetenekleri kazanmak için bilinen ve henüz belirtilmemiş güvenlik açıklarını kullanarak TP-Link, Zyxel, Asus, Axentra, D-Link ve NETGEAR dahil olmak üzere çeşitli SOHO yönlendirici ve VPN cihaz markalarını hedefliyor.
Botnet kötü amaçlı yazılımı, uzaktan erişimi kolaylaştırmak için TCP bağlantı noktası 7777’yi dinleyen bir arka kapıya sahip cihazlara bulaşıyor. Herhangi bir zamanda ağda yaklaşık 8.000 güvenliği ihlal edilmiş cihazın aktif olduğu tahmin ediliyor, ancak bunların yalnızca %20’si şifre püskürtmeyle ilgili.
Microsoft, botnet sahiplerinin Çin’de bulunduğunu ve bu ülkeden çok sayıda saldırganın, uzaktan erişim Truva atlarını dağıtmak ve verileri çalmaya çalışmak gibi bilgisayar ağı istismarı (CNE) saldırıları gerçekleştirmek için botnet’i kullandığını belirledi.
Storm-0940, özellikle şifre saldırıları yoluyla elde edilen geçerli kimlik bilgilerini kullanarak, bazı durumlarda kimlik bilgilerinin alındığı günle birlikte hedef kuruluşlara sızdı.
Microsoft ayrıca botnet altyapısının kamuya açıklanmasından bu yana “istikrarlı ve keskin bir düşüş” gösterdiğini ve saldırganların tespit edilmekten kaçınmak için “muhtemelen değişikliklerle yeni altyapı satın alma” olasılığını artırdığı konusunda uyardı.
