Microsoft alerta sobre botnet chinês explorando falhas de roteador para roubo de credenciais
A Microsoft revelou que um agente de ameaças chinês que ela rastreia como Storm-0940 está utilizando uma botnet chamada Quad7 para orquestrar ataques de pulverização de senhas altamente evasivos.
A gigante da tecnologia deu à botnet o nome CovertNetwork-1658, afirmando que as operações de pulverização de senhas são usadas para roubar credenciais de vários clientes da Microsoft.
“Ativo desde pelo menos 2021, o Storm-0940 obtém acesso inicial por meio de ataques de pulverização de senhas e força bruta, ou explorando ou usando indevidamente aplicativos e serviços de ponta de rede”, disse a equipe de Inteligência de Ameaças da Microsoft .
“Sabe-se que a Tempestade-0940 tem como alvo organizações na América do Norte e na Europa, incluindo think tanks, organizações governamentais, organizações não governamentais, escritórios de advocacia, bases industriais de defesa e outros.”
Quad7, também conhecido como 7777 ou xlogin, tem sido objeto de análises extensivas pela Sekoia e Team Cymru nos últimos meses. O malware botnet foi observado mirando várias marcas de roteadores SOHO e dispositivos VPN, incluindo TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR.
Esses dispositivos são recrutados explorando falhas de segurança conhecidas e ainda não determinadas para obter capacidades de execução remota de código. O nome do botnet é uma referência ao fato de que os roteadores são infectados com um backdoor que escuta na porta TCP 7777 para facilitar o acesso remoto.
Sekoia disse ao The Hacker News em setembro de 2024 que o botnet está sendo usado principalmente para realizar tentativas de força bruta contra contas do Microsoft 365, acrescentando que os operadores provavelmente são agentes patrocinados pelo estado chinês.
A Microsoft também avaliou que os mantenedores da botnet estão localizados na China e que vários agentes de ameaças do país estão usando a botnet para conduzir ataques de pulverização de senhas para atividades subsequentes de exploração de rede de computadores (CNE), como movimentação lateral, implantação de cavalos de Troia de acesso remoto e tentativas de exfiltração de dados.
Isso inclui o Storm-0940, que, segundo ele, se infiltrou em organizações-alvo usando credenciais válidas obtidas por meio de ataques de spray de senha, em alguns casos no mesmo dia em que as credenciais foram extraídas. A “rápida transferência operacional” implica uma colaboração próxima entre os operadores de botnet e o Storm-0940, destacou a empresa.
“O CovertNetwork-1658 envia um número muito pequeno de tentativas de login para muitas contas em uma organização alvo”, disse a Microsoft. “Em cerca de 80 por cento dos casos, o CovertNetwork-1658 faz apenas uma tentativa de login por conta por dia.”
Estima-se que cerca de 8.000 dispositivos comprometidos estejam ativos na rede a qualquer momento, embora apenas 20% desses dispositivos estejam envolvidos em pulverização de senhas.
O fabricante do Windows também alertou que a infraestrutura de botnet testemunhou um “declínio constante e acentuado” após a divulgação pública, levantando a possibilidade de que os agentes da ameaça estejam “provavelmente adquirindo nova infraestrutura com impressões digitais modificadas” para evitar a detecção.
“Qualquer agente de ameaça que use a infraestrutura CovertNetwork-1658 pode conduzir campanhas de pulverização de senhas em uma escala maior e aumentar muito a probabilidade de comprometimento bem-sucedido de credenciais e acesso inicial a várias organizações em um curto espaço de tempo”, observou a Microsoft.
“Essa escala, combinada com a rápida rotatividade operacional de credenciais comprometidas entre a CovertNetwork-1658 e os agentes de ameaças chineses, permite o potencial de comprometimento de contas em vários setores e regiões geográficas.”
Fonte: thehackernews.com
