A Microsoft revelou que um agente de ameaças chinês que rastreia como Storm-0940 está aproveitando uma botnet chamada Quad7 para orquestrar ataques de pulverização de senhas altamente evasivos.
A gigante da tecnologia deu ao botnet o nome CovertNetwork-1658, afirmando que as operações de pulverização de senhas são usadas para roubar credenciais de vários clientes da Microsoft.
“Ativo desde pelo menos 2021, o Storm-0940 obtém acesso inicial por meio de spray de senha e ataques de força bruta, ou pela exploração ou uso indevido de aplicativos e serviços de borda de rede”, disse a equipe de Inteligência de Ameaças da Microsoft.
“Sabe-se que a Tempestade-0940 tem como alvo organizações na América do Norte e na Europa, incluindo grupos de reflexão, organizações governamentais, organizações não-governamentais, escritórios de advocacia, bases industriais de defesa e outros.”
Quad7, também conhecido como 7777 ou xlogin, tem sido objeto de extensas análises por Sekoia e Staff Cymru nos últimos meses. O malware botnet foi observado visando diversas marcas de roteadores SOHO e dispositivos VPN, incluindo TP-Hyperlink, Zyxel, Asus, Axentra, D-Hyperlink e NETGEAR.
Esses dispositivos são recrutados explorando falhas de segurança conhecidas e ainda indeterminadas para obter recursos de execução remota de código. O nome do botnet é uma referência ao fato de os roteadores estarem infectados por um backdoor que escuta na porta TCP 7777 para facilitar o acesso remoto.
Sekoia disse ao The Hacker Information em setembro de 2024 que o botnet está sendo usado principalmente para realizar tentativas de força bruta contra contas do Microsoft 365, acrescentando que os operadores são provavelmente atores patrocinados pelo Estado chinês.
A Microsoft também avaliou que os mantenedores do botnet estão localizados na China e que vários agentes de ameaças do país estão usando o botnet para conduzir ataques de pulverização de senhas para atividades subsequentes de exploração de rede de computadores (CNE), como movimento lateral, implantação de controle remoto trojans de acesso e tentativas de exfiltração de dados.
Isso inclui o Storm-0940, que, segundo ele, se infiltrou em organizações-alvo usando credenciais válidas obtidas por meio de ataques de spray de senha, em alguns casos no mesmo dia em que as credenciais foram extraídas. A “rápida transferência operacional” implica uma estreita colaboração entre os operadores de botnet e o Storm-0940, destacou a empresa.
“CovertNetwork-1658 envia um número muito pequeno de tentativas de login para muitas contas em uma organização alvo”, disse a Microsoft. “Em cerca de 80 por cento dos casos, CovertNetwork-1658 faz apenas uma tentativa de login por conta por dia.”
Estima-se que cerca de 8.000 dispositivos comprometidos estejam ativos na rede em um determinado momento, embora apenas 20% desses dispositivos estejam envolvidos na pulverização de senhas.
O fabricante do Home windows também alertou que a infraestrutura da botnet testemunhou um “declínio constante e acentuado” após a divulgação pública, levantando a possibilidade de que os atores da ameaça estejam “provavelmente adquirindo nova infraestrutura com impressões digitais modificadas” para evitar a detecção.
“Qualquer agente de ameaça que use a infraestrutura CovertNetwork-1658 poderia conduzir campanhas de pulverização de senhas em maior escala e aumentar significativamente a probabilidade de comprometimento bem-sucedido de credenciais e acesso inicial a várias organizações em um curto espaço de tempo”, observou a Microsoft.
“Essa escala, combinada com a rápida rotatividade operacional de credenciais comprometidas entre CovertNetwork-1658 e atores de ameaças chineses, permite o potencial de comprometimento de contas em vários setores e regiões geográficas.”