Microsoft, Çin tehdit aktörlerinin, şifre-sprey saldırılarında kimlik bilgilerini çalmak için saldırıya uğramış Soho yönlendiricilerinden ödün verilen Quad7 botnet'i kullandıkları konusunda uyarıyor.
CovertNetwork-1658 veya Xlogin olarak da bilinen Quad7, ilk olarak güvenlik araştırmacısı GI7W0RM tarafından tehlikeye atılan SOHO yönlendiricilerinden oluşan bir botnettir.
Sekoia ve Team Cymru'nun daha sonraki raporları, tehdit aktörlerinin TP-Link, Asus, Ruckus kablosuz cihazları, Axentra NAS cihazları ve Zyxel VPN cihazlarından yönlendiricileri ve ağ cihazlarını hedeflediğini bildirdi.
Cihazlar tehlikeye atıldığında, tehdit aktörleri, uzatılmış cihaza dayalı benzersiz karşılama pankartları gösteren Telnet üzerinden cihazlara uzaktan erişim sağlayan özel kötü amaçlı yazılımlar dağıtır:
Diğer yüklü olan tehdit aktörleri, tespit etmek için meşru trafikle harmanlanırken proxy veya röle, kötü niyetli saldırıları yeniden kullanmak için kullanılan bir SOCKS5 proxy sunucusu kurar.
Botnet belirli bir tehdit oyuncusuna atfedilmemiş olsa da, Cymru ekibi bu yönlendiricilerde kullanılan proxy yazılımını Çin, Hangzhou'da yaşayan bir kullanıcıya izledi.
Microsoft bugün, Quad7 Botnet'in Çin'den faaliyet gösterdiğine inanıldığını ve birden fazla Çin tehdit aktörünün, parola sprey saldırıları yoluyla kimlik bilgilerini çalmak için tehlikeye atılan yönlendiricileri kullandığını açıkladı.
Microsoft, yeni bir raporda, "Microsoft, CoverTNetwork-1658 şifre sprey işlemlerinden elde edilen kimlik bilgilerinin birden fazla Çin tehdit aktörü tarafından kullanıldığını değerlendiriyor." Diyor.
"Özellikle Microsoft, Çin tehdit oyuncusu Storm-0940'ı CovertNetwork-1658'den kimlik bilgilerini kullanarak gözlemledi."
Parola sprey saldırılarını yürütürken Microsoft, tehdit aktörlerinin agresif olmadığını, sadece hesap başına birkaç kez oturum açmaya çalıştığını ve herhangi bir alarmı tetiklemeden kaçınmasını söylüyor.
Microsoft, "Bu kampanyalarda CoverTNetwork-1658, bir hedef kuruluştaki birçok hesaba çok az sayıda oturum açma denemesi sunuyor."
"Vakaların yaklaşık yüzde 80'inde CoverTNetwork-1658, hesap başına günde sadece bir oturum açma denemesi yapıyor."
Bununla birlikte, kimlik bilgileri çalındıktan sonra Microsoft, Storm-0940'ı hedeflenen ağları ihlal etmek için kullandılar, bazen aynı gün çalındılar.
Ağ ihlal edildikten sonra, tehdit aktörleri kimlik bilgilerini boşaltarak ve ağda kalıcılık için fareleri ve proxy araçlarını kurarak ağdan daha da yayılır.
Saldırının nihai amacı, muhtemel siber casusluk amaçları için verileri hedeflenen ağdan yaymaktır.
Araştırmacılar bugüne kadar Quad7 tehdit aktörlerinin Soho yönlendiricilerini ve diğer ağ cihazlarını nasıl tehlikeye attığını tam olarak belirlemediler.
Bununla birlikte, Sekoia, bir OpenWRT sıfır günü kullanan Quad7 tehdit aktörleri tarafından avlandığını gözlemledi.
Sekoia Temmuz ayında, "Şu anda (bir Google aramasına göre) ve bir komut enjeksiyonu gibi görünmeyen, kimliği doğrulanmamış bir dosya açıklamasına zincirleyen önemli bir saldırı gözlemlemeden önce bir haftadan kısa bir süre bekledik."
Tehdit oyuncularının diğer cihazları nasıl ihlal ettiği bir gizem olmaya devam ediyor.
Bu yedi şifre saldırısını ve bunları nasıl durduracağınızı anlayın
Kaba kuvvet ve şifre sprey saldırılarına karşı nasıl savunulur
Synology, pwn2own'da sömürülen sıfır günler için yamaları acele ediyor
Microsoft, Windows'u geciktiriyor, şimdi Aralık ayına kadar
MFA kurulumunu zorunlu hale getirmek için Microsoft Entra "Güvenlik Varsayılanları"
Kaynak: Bleeping Computer