Se está utilizando una importante botnet china llamada Quad7 para montar contraseña ataques con spray contra organizaciones en el oeste, microsoft han advertido los expertos.
en un nuevo informedicen los investigadores de la compañía, el grupo, llamado Storm-0940, luego usa las contraseñas para establecer persistencia, robar aún más credenciales y, en última instancia, participar en ataques cibernéticos más disruptivos.
Microsoft cree que el objetivo final de la campaña es, muy probablemente, el espionaje, ya que los objetivos incluyen grupos de expertos, organizaciones gubernamentales, organizaciones no gubernamentales, bufetes de abogados, bases industriales de defensa y más.
Dirigirse a enrutadores SOHO
“En particular, Microsoft ha observado al actor de amenazas chino Storm-0940 usando credenciales de CovertNetwork-1658”, afirma el informe, y agrega que el grupo estaba teniendo mucho cuidado de no ser descubierto.
“En estas campañas, CovertNetwork-1658 envía una cantidad muy pequeña de intentos de inicio de sesión a muchas cuentas en una organización objetivo”, se dijo. “En aproximadamente el 80 por ciento de los casos, CovertNetwork-1658 realiza sólo un intento de inicio de sesión por cuenta por día”.
Aún así, tan pronto como hay un impacto, Storm-0940 avanza para comprometer aún más el objetivo. De hecho, Microsoft dijo que en algunas ocasiones la infiltración se realizaba el mismo día en que se adivinaban las contraseñas. El primer paso de Storm-0940 fue deshacerse de las credenciales e instalar RAT y proxies para lograr persistencia.
Quad7 es una botnet bastante conocida. A finales de septiembre de 2024, informamos sobre la botnet. Agregar nuevas funciones y ampliar la superficie de ataque.. Fue detectado por primera vez por un investigador alias Gi7w0rm y expertos de Sekoia, cuando solo se observó apuntando a enrutadores TP-Link. Sin embargo, durante las semanas siguientes, Quad7 (que recibió ese nombre por apuntar al puerto 7777), se expandió a los enrutadores ASUS y ahora se ha observado en los puntos finales VPN de Zyxel, los enrutadores inalámbricos Ruckus y los servidores de medios Axentra.
Los atacantes construyeron malware para comprometer estos puntos finales, apuntando a diferentes clústeres. Cada clúster es una variante de *login, y Ruckus, por ejemplo, tiene el clúster 'rlogin'. Otros grupos incluyen xlogin, alogin, axlogin y zylogin. Algunos grupos son relativamente grandes y cuentan con miles de dispositivos asimilados. Otros son más pequeños y cuentan tan solo dos infecciones.
