Para la instalación se utiliza una importante botnet china llamada Quad7. contraseña Ataques con spray contra organizaciones en Occidente, microsoft Lo advirtieron los expertos.
en nuevo un informeEl grupo, llamado Storm-0940, luego usa las contraseñas para demostrar persistencia, robar más credenciales y, en última instancia, participar en ciberataques más devastadores, dicen los investigadores de la compañía.
Microsoft cree que el objetivo final de la campaña es el espionaje, y sus objetivos incluyen grupos de expertos, organizaciones gubernamentales, ONG, bufetes de abogados, bases industriales de defensa y más.
Dirigirse a enrutadores SOHO
“En particular, Microsoft observó al actor de amenazas chino Storm-0940 usando credenciales de CovertNetwork-1658”, dice el informe, y agrega que el grupo tuvo mucho cuidado de no ser detectado.
“En estas campañas, CovertNetwork-1658 ofrece una cantidad muy pequeña de intentos de inicio de sesión en muchas cuentas de una organización específica”, dijo. “En aproximadamente el 80 por ciento de los casos, CovertNetwork-1658 sólo realiza un intento de inicio de sesión por cuenta por día”.
Sin embargo, una vez que se produce un impacto, Storm-0940 se mueve para aplanar aún más el objetivo. De hecho, Microsoft dijo que en algunas ocasiones el hackeo se produjo el mismo día en que se adivinaron las contraseñas. El primer paso de Storm-0940 fue deshacerse de las credenciales e instalar RAT y agentes para la persistencia.
Quad7 es una botnet bastante conocida. A finales de septiembre de 2024, informamos sobre la botnet. Agregue nuevas funciones y amplíe la superficie de ataque. Fue detectado por primera vez por un investigador llamado Gi7w0rm y expertos de Sekoia, cuando solo se observó apuntando a enrutadores TP-Link. Sin embargo, durante las siguientes semanas, la tecnología Quad7 (llamada así por apuntar al puerto 7777) se expandió para incluir enrutadores ASUS y ahora se ha observado en puntos finales Zyxel VPN, enrutadores inalámbricos Ruckus y servidores de medios Axentra.
Los atacantes construyeron la costumbre. malware Aplanar estos puntos finales, apuntando a diferentes grupos. Cada grupo es una variación de *login, y Ruckus, por ejemplo, tiene el grupo “rlogin”. Otros grupos incluyen xlogin, alogin, axlogin y zylogin. Algunas colecciones son relativamente grandes, con miles de dispositivos similares. Otros son más pequeños, con no más de dos infecciones.