Η Microsoft προειδοποιεί ότι οι κινέζοι φορείς απειλών χρησιμοποιούν το botnet Quad7, το οποίο έχει παραβιαστεί από χακαρισμένους δρομολογητές SOHO, για να κλέψουν διαπιστευτήρια σε επιθέσεις με σπρέι κωδικού πρόσβασης.
Το Quad7, γνωστό και ως CovertNetwork-1658 ή xlogin, είναι ένα botnet ανακαλύφθηκε για πρώτη φορά από τον ερευνητή ασφάλειας Gi7w0rm που αποτελείται από παραβιασμένους δρομολογητές SOHO.
Αργότερα αναφορές από Σεκόια και Ομάδα Cymru ανέφερε ότι οι παράγοντες απειλής στοχεύουν δρομολογητές και συσκευές δικτύωσης από TP-Link, ASUS, ασύρματες συσκευές Ruckus, συσκευές Axentra NAS και συσκευές Zyxel VPN.
Όταν οι συσκευές παραβιάζονται, οι φορείς απειλών αναπτύσσουν προσαρμοσμένο κακόβουλο λογισμικό που επιτρέπει την απομακρυσμένη πρόσβαση στις συσκευές μέσω Telnet, οι οποίες εμφανίζουν μοναδικά banner καλωσορίσματος με βάση την παραβιασμένη συσκευή:
- xlogin – Το Telnet είναι συνδεδεμένο στη θύρα TCP 7777 σε δρομολογητές TP-Link
- σύνδεση – Το Telnet είναι συνδεδεμένο στη θύρα TCP 63256 σε δρομολογητές ASUS
- rlogin – Το Telnet συνδέεται στη θύρα TCP 63210 στις ασύρματες συσκευές Ruckus.
- axlogin – Banner Telnet σε συσκευές Axentra NAS (άγνωστη θύρα καθώς δεν φαίνεται στη φύση)
- ζυλογίνη – Το Telnet είναι συνδεδεμένο στη θύρα TCP 3256 σε συσκευές Zyxel VPN
Άλλα εγκατεστημένα, οι φορείς απειλών εγκαθιστούν έναν διακομιστή μεσολάβησης SOCKS5 που χρησιμοποιείται για την παροχή διακομιστή μεσολάβησης ή τη μετάδοση κακόβουλων επιθέσεων ενώ συνδυάζεται με τη νόμιμη κυκλοφορία για να αποφύγει τον εντοπισμό.
Πηγή: Sekoia
Ενώ το botnet δεν είχε αποδοθεί σε κάποιον συγκεκριμένο παράγοντα απειλής, η Team Cymru παρακολούθησε το λογισμικό διακομιστή μεσολάβησης που χρησιμοποιείται σε αυτούς τους δρομολογητές σε έναν χρήστη που ζει στο Hangzhou της Κίνας.
Quad7 botnet που χρησιμοποιείται για επιθέσεις με σπρέι κωδικού πρόσβασης
Η Microsoft αποκάλυψε σήμερα ότι το Quad7 botnet πιστεύεται ότι λειτουργεί από την Κίνα, με πολλούς κινέζους παράγοντες απειλών να χρησιμοποιούν τους παραβιασμένους δρομολογητές για να κλέψουν διαπιστευτήρια μέσω επιθέσεων με σπρέι κωδικών πρόσβασης.
“Η Microsoft αξιολογεί ότι τα διαπιστευτήρια που αποκτήθηκαν από τις λειτουργίες ψεκασμού κωδικού πρόσβασης CovertNetwork-1658 χρησιμοποιούνται από πολλούς κινέζους φορείς απειλών”, λέει η Microsoft σε μια νέα έκθεση.
“Συγκεκριμένα, η Microsoft παρατήρησε τον κινεζικό παράγοντα απειλών Storm-0940 χρησιμοποιώντας διαπιστευτήρια από το CovertNetwork-1658.”
Κατά τη διεξαγωγή των επιθέσεων με σπρέι κωδικού πρόσβασης, η Microsoft λέει ότι οι παράγοντες απειλής δεν είναι επιθετικοί, προσπαθούν μόνο να συνδεθούν μερικές φορές ανά λογαριασμό, πιθανόν να αποφύγουν την ενεργοποίηση τυχόν συναγερμών.
“Σε αυτές τις καμπάνιες, το CovertNetwork-1658 υποβάλλει έναν πολύ μικρό αριθμό προσπαθειών σύνδεσης σε πολλούς λογαριασμούς σε έναν οργανισμό-στόχο”, κοινοποίησε η Microsoft.
“Σε περίπου 80 τοις εκατό των περιπτώσεων, το CovertNetwork-1658 κάνει μόνο μία προσπάθεια σύνδεσης ανά λογαριασμό την ημέρα.”
Πηγή: Microsoft
Ωστόσο, μόλις κλαπούν τα διαπιστευτήρια, η Microsoft παρατήρησε ότι το Storm-0940 τα χρησιμοποιεί για να παραβιάσει στοχευμένα δίκτυα, μερικές φορές την ίδια ημέρα που κλάπηκαν.
Μόλις παραβιαστεί το δίκτυο, οι παράγοντες απειλής εξαπλώνονται περαιτέρω μέσω του δικτύου απορρίπτοντας διαπιστευτήρια και εγκαθιστώντας RAT και εργαλεία μεσολάβησης για παραμονή στο δίκτυο.
Ο απώτερος στόχος της επίθεσης είναι η διείσδυση δεδομένων από το στοχευμένο δίκτυο, πιθανότατα για σκοπούς κυβερνοκατασκοπείας.
Μέχρι σήμερα, οι ερευνητές δεν έχουν καθορίσει με ακρίβεια πώς οι παράγοντες απειλών Quad7 διακυβεύουν τους δρομολογητές SOHO και άλλες συσκευές δικτύου.
Ωστόσο, ο Sekoia παρατήρησε ότι ένα από τα honeypot τους παραβιάστηκε από τους παράγοντες απειλών Quad7 χρησιμοποιώντας ένα OpenWRT zero-day.
“Περιμέναμε λιγότερο από μια εβδομάδα πριν παρατηρήσουμε μια αξιοσημείωτη επίθεση που αλυσόδεψε μια αποκάλυψη μη επικυρωμένου αρχείου που φαίνεται να μην είναι δημόσια αυτήν τη στιγμή (σύμφωνα με μια αναζήτηση Google) και μια ένεση εντολής.” εξήγησε ο Σεκόγια τον Ιούλιο.
Ο τρόπος με τον οποίο οι παράγοντες της απειλής παραβιάζουν άλλες συσκευές παραμένει μυστήριο.
VIA: bleepingcomputer.com
