Quad7-Botnetz
Cybersicherheitsspezialisten haben einen chinesischen Bedrohungsakteur namens Storm-0940 identifiziert, der ein Botnetz namens Quad7 nutzt, um ausgeklügelte und schwer zu umgehende Passwort-Spray-Angriffe durchzuführen. Dieses Botnetz, auch als CovertNetwork-1658 bezeichnet, wird eingesetzt, um Anmeldeinformationen von verschiedenen Microsoft-Kunden zu stehlen. Storm-0940 ist seit mindestens 2021 aktiv und verschafft sich den ersten Zugriff, indem er Passwort-Spray- und Brute-Force-Techniken einsetzt oder Schwachstellen und Fehlkonfigurationen in Netzwerk-Edge-Anwendungen und -Diensten ausnutzt.
Inhaltsverzeichnis
Angreifer zielen auf zahlreiche anfällige Geräte ab
Storm-0940 ist bekannt für seinen Fokus auf Organisationen in Nordamerika und Europa, darunter Think Tanks, Regierungsstellen, NGOs, Anwaltskanzleien und Sektoren der Verteidigungsindustrie.
Das Quad7-Botnetz, auch 7777 oder xlogin genannt, wurde von Forschern eingehend untersucht. Diese Malware hat einen besonderen Fokus auf SOHO-Router und VPN-Geräte mehrerer bekannter Marken wie TP-Link, Zyxel, Asus, Axentra, D-Link und NETGEAR.
Diese Geräte werden kompromittiert, indem sowohl bekannte als auch möglicherweise unbekannte Sicherheitslücken ausgenutzt werden, um Remote-Codeausführung zu erreichen. Der Name des Botnetzes, Quad7, rührt daher, dass die infizierten Router eine Hintertür enthalten, die auf TCP-Port 7777 lauscht und Remote-Zugriff ermöglicht.
Von Quad und Angreifern gezeigte Taktiken
Ab September 2024 scheint das Botnetz hauptsächlich für Brute-Force-Angriffe auf Microsoft 365-Konten eingesetzt zu werden, wobei es Hinweise darauf gibt, dass wahrscheinlich vom chinesischen Staat gesponserte Akteure hinter diesen Operationen stecken.
Microsofts Einschätzungen zufolge sitzen die Betreiber des Botnetzes in China, wo mehrere Bedrohungsakteure es für Passwort-Spray-Angriffe nutzen, um weitere Netzwerkausnutzungen zu ermöglichen. Zu diesen Folgeaktivitäten gehören Lateral Movement, die Bereitstellung von Remote Access Trojan (RAT) und Datenexfiltrationsversuche.
Storm-0940 ist einer der Angreifer, die diese Methode nutzen. Er verschaffte sich Zugang zu den Zielorganisationen, indem er gültige Zugangsdaten verwendete, die er durch diese Angriffe erhalten hatte – oft am selben Tag, an dem die Zugangsdaten kompromittiert wurden. Dieser schnelle Übergang zur gezielten Nutzung deutet auf ein hohes Maß an Koordination zwischen den Botnetzbetreibern und Storm-0940 hin.
CovertNetwork-1658 verfolgt dagegen einen zurückhaltenderen Ansatz, bei dem eine geringe Anzahl von Anmeldeversuchen auf mehrere Konten einer Zielorganisation verteilt wird. In etwa 80 % der Fälle ist die Aktivität auf einen einzigen Anmeldeversuch pro Konto und Tag beschränkt.
Tausende Geräte durch Quad7 kompromittiert
Schätzungsweise 8.000 kompromittierte Geräte sollen zu jedem beliebigen Zeitpunkt im Netzwerk aktiv sein, wobei nur etwa 20 Prozent dieser Geräte an Password-Spraying-Angriffen beteiligt sind.
Experten haben nach der öffentlichen Enthüllung einen deutlichen Rückgang der Botnet-Infrastruktur beobachtet. Dies lässt darauf schließen, dass die Bedrohungsakteure möglicherweise nach neuer Infrastruktur mit veränderten Fingerabdrücken suchen, um einer Entdeckung zu entgehen.
Durch die Nutzung der CovertNetwork-1658-Infrastruktur kann jeder Bedrohungsakteur Password-Spraying-Kampagnen in einem viel größeren Maßstab starten. Dadurch steigen die Chancen, Anmeldeinformationen erfolgreich zu kompromittieren und in kurzer Zeit einen ersten Zugriff auf zahlreiche Organisationen zu erlangen, erheblich.
Diese enorme Reichweite, gepaart mit dem schnellen Austausch kompromittierter Anmeldeinformationen zwischen CovertNetwork-1658 und chinesischen Bedrohungsakteuren, erhöht das Risiko einer Kontokompromittierung in verschiedenen Sektoren und Regionen.
Experten, die den Rückgang der Botnetzaktivität festgestellt haben, weisen darauf hin, dass der Datenverkehr immer noch darauf hindeutet, dass Quad7 weiterhin betriebsbereit ist. Es ist jedoch wichtig zu erkennen, dass dieser deutliche Rückgang der kompromittierten Router nur sichtbare Verstöße widerspiegelt. Es besteht die Möglichkeit, dass Quad7-Betreiber Methoden entwickelt haben, um Geräte diskret zu kompromittieren und eine Entdeckung zu vermeiden.
