Опубликовано в рубрике Кoмпaния Microsoft сooбщилa o выявлeнии сeрьeзнoй кибeругрoзы oт китaйскoй xaкeрскoй группирoвки Storm-0940.
Storm-0940 испoльзуeт бoтнeт Quad7 (неужели CovertNetwork-1658) во (избежание проведения атак с применением метода «распыления паролей». Сии атаки направлены держи кражу учетных данных у различных клиентов Microsoft, начиная организации из Северной Америки и Европы, такие точно аналитические центры, правительственные структуры, НПО, юридические фирмы и компании оборонного сектора.
Соединение Storm-0940 действует во вкусе минимум с 2021 годы. Она получает проход к системам посредством атак, связанных с подбором паролей и эксплуатации уязвимостей в сетевых приложениях и сервисах. Ботнет Quad7 ориентирован для маршрутизаторы SOHO и VPN-устройства различных брендов, таких ни дать ни взять TP-Link, Zyxel, Asus, Axentra, D-Link и NETGEAR, используя в качестве кого известные, так и невыявленные уязвимости для того удаленного выполнения заключение.
Вредоносное ПО внедряет бэкдор, какой-никакой прослушивает порт TCP 7777, обеспечивая выкачанный доступ. По оценкам, в мышеловка находится около 8000 инфицированных устройств, как ни лишь 20% изо них активно участвуют в атаках до распылению паролей.
Microsoft выяснила, словно ботнет Quad7 управляется злоумышленниками с Китая, и они используют его интересах атак с целью эксплуатации сетей (CNE), внедрения троянов удаленного доступа и кражи данных. В некоторых случаях Storm-0940 получала подход к целям с помощью действительных учетных данных, полученных еще в день атаки.
Позже того как каста информация стала публичной, Microsoft отметила резкое спад активности ботнета, яко указывает на возможные изменения в его инфраструктуре ради избегания обнаружения.