СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
02.11.2024
#ИБ#Инфра

Microsoft предупредила о китайском ботнете, использующем уязвимости маршрутизаторов для кражи учётных данных

Microsoft предупредила о китайском ботнете, использующем уязвимости маршрутизаторов для кражи учётных данных

источник: dall-e

Американская корпорация Microsoft сообщила, что китайская хакерская группа, отслеживаемая как Storm-0940, использует ботнет под названием Quad7 для организации крайне сложных атак методом распыления паролей. Ботнет был назван экспертами CovertNetwork-1658.

В отчёте уточняется, что операции по распылению паролей используются китайскими хакерами для кражи учётных данных у нескольких клиентов Microsoft.

В группе Microsoft Threat Intelligence заявили, что хакерская группа Storm-0940, активная по крайней мере с 2021 года, получает первоначальный доступ посредством атак с использованием паролей и методом подбора, а также путём эксплуатации или ненадлежащего использования сетевых приложений и служб. Также известно, что Storm-0940 нацелена на организации в Северной Америке и Европе, в том числе на аналитические центры, правительственные организации, неправительственные организации, юридические фирмы, оборонно-промышленные базы и другие.

Ботнет Quad7 (также известен под названиями 7777 или xlogin) активно изучался и анализировался профильными компаниями Sekoia и Team Cymru в последние месяцы. Вредоносное ПО ботнета было замечено нацеленным на несколько марок маршрутизаторов SOHO и устройств VPN: TP-Link, Zyxel, Asus, Axentra, D-Link и NETGEAR. Эти устройства вербуются путём эксплуатации известных и пока ещё не определённых уязвимостей безопасности для получения возможностей удалённого выполнения кода. Название ботнета является ссылкой на тот факт, что маршрутизаторы заражены бэкдором, который прослушивает порт TCP 7777 для облегчения удалённого доступа.

В сентябре 2024 года в компании Sekoia сообщили журналистам, что ботнет в основном используется для попыток взлома учётных записей Microsoft 365 методом подбора пароля, добавив, что операторы, вероятно, являются субъектами, спонсируемыми китайским государством.

Корпорация Microsoft также установила, что владельцы ботнета якобы находятся в Китае и что многочисленные злоумышленники из этой страны используют ботнет для проведения атак методом распыления паролей с целью последующей эксплуатации компьютерных сетей (CNE), например, для горизонтального перемещения, развёртывания троянов удалённого доступа и попыток кражи данных.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: