Η Microsoft προειδοποιεί ότι Κινέζοι hackers χρησιμοποιούν το botnet Quad7, για να κλέψουν credentials στα πλαίσια password-spray επιθέσεων.
Το Quad7 botnet, γνωστό και ως CovertNetwork-1658 ή xlogin, ανακαλύφθηκε από τον ερευνητή ασφάλειας Gi7w0rm και αποτελείται κυρίως από παραβιασμένους SOHO routers.
Μεταγενέστερες αναφορές της Sekoia και της Team Cymru ανέφεραν ότι οι επιτιθέμενοι στοχεύουν routers και συσκευές networking από TP-Link, ASUS, Ruckus, Axentra και Zyxel.
Όταν οι συσκευές παραβιάζονται, οι επιτιθέμενοι αναπτύσσουν custom κακόβουλο λογισμικό που επιτρέπει την απομακρυσμένη πρόσβαση στις συσκευές μέσω Telnet. Στη συνέχεια, εμφανίζονται μοναδικά welcome banners με βάση την παραβιασμένη συσκευή:
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Aria: Ένα νέο επαναστατικό Robot Girlfriend
- xlogin – Telnet συνδεδεμένο στη θύρα TCP 7777 σε TP-Link routers
- alogin – Telnet συνδεδεμένο στη θύρα TCP 63256 σε ASUS routers
- rlogin – Telnet συνδεδεμένο στη θύρα TCP 63210 σε ασύρματες συσκευές Ruckus
- axlogin – Telnet banner σε συσκευές Axentra NAS (άγνωστη θύρα)
- zylogin – Telnet συνδεδεμένο στη θύρα TCP 3256 σε συσκευές Zyxel VPN
Οι επιτιθέμενοι εγκαθιστούν έναν SOCKS5 proxy server που χρησιμοποιείται για proxy ή μετάδοση κακόβουλων επιθέσεων, ενώ συνδυάζεται με το νόμιμο traffic για να αποφύγει τον εντοπισμό.
Δείτε επίσης: Το Gorilla Botnet εμπνευσμένο από το Mirai, χτυπά 0.3 εκατ. στόχους σε 100 χώρες
Το Quad7 botnet δεν είχε συνδεθεί, μέχρι τώρα, με κάποια συγκεκριμένη hacking ομάδα. Η Team Cymru παρακολούθησε το proxy software που χρησιμοποιείται στους routers και κατέληξε σε έναν χρήστη που ζούσε στο Hangzhou της Κίνας.
Το Quad7 botnet κλέβει credentials μέσω password-spray επιθέσεων
Η Microsoft αποκάλυψε ότι το Quad7 botnet λειτουργεί πιθανότατα από την Κίνα, με πολλούς Κινέζους hackers να χρησιμοποιούν τους παραβιασμένους routers για να κλέψουν credentials μέσω password spray επιθέσεων.
“Η Microsoft αξιολογεί ότι τα credentials που αποκτήθηκαν από τις password spray επιθέσεις Quad7 χρησιμοποιούνται από πολλούς Κινέζους φορείς απειλών“, αναφέρει η Microsoft σε μια νέα έκθεση.
“Συγκεκριμένα, η Microsoft παρατήρησε τους Κινέζους hackers Storm-0940 να χρησιμοποιούν credentials από το Quad7“.
Κατά τη διεξαγωγή των επιθέσεων, οι Κινέζοι hackers προσπαθούν να συνδεθούν μερικές μόνο φορές σε κάθε λογαριασμό. Δεν γίνονται πού επίμονοι, πιθανόν για να αποφύγουν την ενεργοποίηση τυχόν συναγερμών.
“Σε αυτές τις καμπάνιες, το Quad7 προχωρά σε έναν πολύ μικρό αριθμό προσπαθειών σύνδεσης, σε πολλούς λογαριασμούς σε έναν οργανισμό-στόχο“, λέει η Microsoft.
Δείτε επίσης: Το Gorilla Botnet εμπνευσμένο από το Mirai, χτυπά 0.3 εκατ. στόχους σε 100 χώρες
Ωστόσο, μετά την κλοπή των credentials, οι Κινέζοι hackers Storm-0940 τα χρησιμοποιούν άμεσα για να παραβιάσουν στοχευμένα δίκτυα. Μόλις παραβιαστεί το δίκτυο, οι παράγοντες απειλής εξαπλώνονται περαιτέρω και εγκαθιστούν RAT και εργαλεία proxy για παραμονή στο δίκτυο.
Ο απώτερος στόχος της επίθεσης είναι η κλοπή δεδομένων από το στοχευμένο δίκτυο, πιθανόν για σκοπούς κυβερνοκατασκοπείας.
Μέχρι σήμερα, οι ερευνητές δεν έχουν καθορίσει με ακρίβεια πώς οι επιτιθέμενοι πίσω από το Quad7 botnet παραβιάζουν τους SOHO routers και άλλες συσκευές δικτύου. Ωστόσο, η Sekoia παρατήρησε ότι ένα από τα honeypot τους παραβιάστηκε από τους παράγοντες απειλών χρησιμοποιώντας ένα zero-day στο OpenWRT.
Προστασία από malware botnet
Για να προστατευτείτε από τα Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις bοtnet συχνά εκμεταλλεύονται γνωστές ευπάθειες.
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Δείτε επίσης: Το Quad7 botnet στοχεύει περισσότερους VPN routers, media servers
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet (π.χ. Quad7). Οι επιθέσεις bοtnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: www.bleepingcomputer.com