导 读
微软警告称,黑客组织利用被入侵的 SOHO 路由器构成 Quad7 僵尸网络,然后通过密码喷洒攻击窃取凭证。
Quad7,也称为 CovertNetwork-1658 或 xlogin,是一个由安全研究员 Gi7w0rm首次发现的由受感染的 SOHO 路由器组成的僵尸网络。
Sekoia和Team Cymru后来的报告称,威胁组织的目标是TP-Link、ASUS、Ruckus 无线设备、Axentra NAS 设备和 Zyxel VPN 设备的路由器和网络设备。
当设备受到攻击时,威胁组织会部署自定义恶意软件,允许通过 Telnet 远程访问设备,并根据受感染的设备显示独特的欢迎横幅:
-
xlogin – Telnet 绑定到 TP-Link 路由器上的 TCP 端口 7777
-
alogin – Telnet 绑定到华硕路由器上的 TCP 端口 63256
-
rlogin – Telnet 绑定到 Ruckus 无线设备上的 TCP 端口 63210。
-
axlogin – Axentra NAS 设备上的 Telnet 横幅(端口未知,因为在野外未见过)
-
zylogin – Telnet 绑定到 Zyxel VPN 设备上的 TCP 端口 3256
其他安装包括,安装SOCKS5代理服务器,用于代理或中继恶意攻击,同时混合合法流量以逃避检测。
Quad7 僵尸网络设备及其用途,资料来源:Sekoia
Quad7 僵尸网络用于密码喷洒攻击
微软发布报告透露,Quad7 僵尸网络疑似为威胁组织利用受感染的路由器通过密码喷洒攻击窃取凭证。
微软在一份新报告中表示:“微软评估发现,从 CovertNetwork-1658 密码喷洒行动中获得的凭证被多名威胁黑客使用。”
微软表示,在进行密码喷洒攻击时,每个帐户仅尝试登录几次,可能是为了避免触发任何警报。
微软表示:“在这些活动中,CovertNetwork-1658 向目标组织的许多账户提交了极少量的登录尝试。”
“在约 80% 的情况下,CovertNetwork-1658 每天仅对每个帐户进行一次登录尝试。”
CovertNetwork-1658 每个帐户每天的登录尝试次数,来源:微软
一旦凭证被盗,微软就观察到 Storm-0940 利用它们来入侵目标网络,有时甚至是在凭证被盗的同一天。
一旦网络被攻破,威胁组织就会通过转储凭证、安装 RAT 和代理工具进一步在网络中传播,以在网络上保持持久性。
此次攻击的最终目的是从目标网络中窃取数据,可能用于网络间谍目的。
到目前为止,研究人员还没有确定 Quad7 威胁组织是如何攻击 SOHO 路由器和其他网络设备的。
Sekoia 发现他们的一个蜜罐被 Quad7 威胁组织利用 OpenWRT 0day漏洞攻破。
Sekoia 在 7 月份解释道:“我们等待了不到一周的时间才观察到一次值得注意的攻击,该攻击链接了未经身份验证的文件泄露(目前似乎尚未公开)和命令注入。”
威胁组织如何侵入其他设备仍然是个谜。
参考技术报告:
https://gi7w0rm.medium.com/the-curious-case-of-the-7777-botnet-86e3464c3ffd
https://www.team-cymru.com/post/botnet-7777-are-you-betting-on-a-compromised-router
https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/
https://www.microsoft.com/en-us/security/blog/2024/10/31/chinese-threat-actor-storm-0940-uses-credentials-from-password-spray-attacks-from-a-covert-network/
今日安全资讯速递
APT事件
Advanced Persistent Threat
美国和以色列网络安全机构联合发布一份报告,称伊朗黑客攻击入侵了2024法国夏季奥运会相关系统
https://thehackernews.com/2024/11/inside-irans-cyber-playbook-ai-fake.html
疑似乌克兰网络攻击导致俄罗斯城市停车执法瘫痪
https://therecord.media/ukraine-cyberattack-russia-parking-tver
微软警告俄罗斯鱼叉式网络钓鱼攻击针对 100 多个组织
https://www.securityweek.com/microsoft-warns-of-russian-spear-phishing-attacks-targeting-over-100-organizations/
微软警告:黑客利用 Quad7 僵尸网络窃取凭证
https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/
朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击
https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
Lazarus APT 组织大量利用社会工程技术和生成式人工智能瞄准加密货币投资者
https://securitybrief.co.nz/story/lazarus-apt-group-targets-crypto-investors-with-ai-tactics
黑客利用 CloudScout 工具集窃取云服务会话 Cookie
https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html
新的 LightSpy 间谍软件以增强功能瞄准 iOS
https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/
BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现
https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html
谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵
https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/
一般威胁事件
General Threat Incidents
购物诈骗蔓延数千个网站,诈骗金额达“数千万美元”
https://therecord.media/shopping-scam-thousands-sites-phishing
暗网帖子曝光后,秘鲁大型银行警告300万客户数据被盗
https://therecord.media/interbank-peru-data-breach
科罗拉多病理学实验室遭 Medusa 勒索软件攻击,影响 180 万人
https://www.govinfosecurity.com/medusa-ransomware-hack-pathology-lab-affects-18-million-a-26695
勒索软件攻击袭击德国药品批发商,扰乱药品供应
https://therecord.media/ransomware-attack-hits-german-pharmaceutical-wholesaler-disruptions
洛杉矶住房管理局确认 Cactus 勒索软件攻击
https://www.bleepingcomputer.com/news/security/la-housing-authority-confirms-breach-claimed-by-cactus-ransomware/
Cyble:新型隐秘 Strela 窃取程序可规避安全工具
https://thecyberexpress.com/new-stealthy-strela-stealer-evades-security/
漏洞事件
Vulnerability Incidents
零点击漏洞可能使数百万Synology NAS设备遭受攻击
https://www.wired.com/story/synology-zero-click-vulnerability/
Azure AI 漏洞允许攻击绕过审核保障措施
https://hackread.com/azure-ai-vulnerabilities-bypass-moderation-safeguards/
近 100 万台存在漏洞的 Fortinet、SonicWall 设备暴露在网络上
https://thecyberexpress.com/vulnerable-fortinet-sonicwall-devices-exposed/
Yahoo 披露 NetIQ iManager 漏洞,可导致远程代码执行
https://www.securityweek.com/yahoo-discloses-netiq-imanager-flaws-allowing-remote-code-execution/
qBittorrent 修复了导致用户 14 年来遭受 MitM 攻击的漏洞
https://www.bleepingcomputer.com/news/security/qbittorrent-fixes-flaw-exposing-users-to-mitm-attacks-for-14-years/
黑客瞄准 PTZ 摄像机中的关键零日漏洞
https://www.bleepingcomputer.com/news/security/hackers-target-critical-zero-day-vulnerability-in-ptz-cameras/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):微软警告Storm-0940威胁组织利用僵尸网络策划密码喷洒攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论