Microsoft cảnh báo về mạng botnet Trung Quốc khai thác lỗ hổng bộ định tuyến

[Starlink]

Microsoft đã tiết lộ rằng một tác nhân đe dọa đến từ Trung Quốc mà họ theo dõi là Storm-0940 đang lợi dụng một mạng botnet có tên là Quad7 để dàn dựng các cuộc tấn công rải mật khẩu có độ khó cao.

Gã khổng lồ công nghệ đã đặt tên cho botnet này là CovertNetwork-1658, nêu rõ các hoạt động rải mật khẩu được sử dụng để đánh cắp thông tin đăng nhập từ nhiều khách hàng của Microsoft.

Nhóm Microsoft Threat Intelligence cho biết : "Hoạt động ít nhất từ năm 2021, Storm-0940 có được quyền truy cập ban đầu thông qua việc phun mật khẩu và tấn công bằng cách dùng vũ lực hoặc bằng cách khai thác hoặc sử dụng sai mục đích các ứng dụng và dịch vụ biên mạng".

"Storm-0940 được biết là nhắm vào các tổ chức ở Bắc Mỹ và Châu Âu, bao gồm các nhóm nghiên cứu, tổ chức chính phủ, tổ chức phi chính phủ, công ty luật, cơ sở công nghiệp quốc phòng và nhiều tổ chức khác."

Quad7, còn gọi là 7777 hoặc xlogin, đã là chủ đề của các phân tích sâu rộng của Sekoia và Team Cymru trong những tháng gần đây. Phần mềm độc hại botnet đã được phát hiện nhắm mục tiêu vào một số thương hiệu bộ định tuyến SOHO và thiết bị VPN, bao gồm TP-Link, Zyxel, Asus, Axentra, D-Link và NETGEAR.

Các thiết bị này được tuyển dụng bằng cách khai thác các lỗ hổng bảo mật đã biết và chưa xác định để có được khả năng thực thi mã từ xa. Tên của botnet ám chỉ đến thực tế là các bộ định tuyến bị nhiễm một cửa hậu lắng nghe trên cổng TCP 7777 để tạo điều kiện truy cập từ xa.

Sekoia nói với The Hacker News vào tháng 9 năm 2024 rằng mạng botnet chủ yếu được sử dụng để thực hiện các nỗ lực tấn công bằng vũ lực vào tài khoản Microsoft 365, đồng thời cho biết thêm rằng những kẻ điều hành có khả năng là các tác nhân được nhà nước Trung Quốc tài trợ.

Microsoft cũng đánh giá rằng những người duy trì mạng botnet có trụ sở tại Trung Quốc và nhiều tác nhân đe dọa từ quốc gia này đang sử dụng mạng botnet để thực hiện các cuộc tấn công rải mật khẩu nhằm phục vụ cho các hoạt động khai thác mạng máy tính (CNE) tiếp theo, chẳng hạn như di chuyển ngang, triển khai trojan truy cập từ xa và các nỗ lực đánh cắp dữ liệu.

Điều này bao gồm Storm-0940, mà công ty cho biết đã xâm nhập vào các tổ chức mục tiêu bằng thông tin xác thực hợp lệ thu được thông qua các cuộc tấn công phun mật khẩu, trong một số trường hợp vào cùng ngày thông tin xác thực được trích xuất. "Việc chuyển giao hoạt động nhanh chóng" ngụ ý sự hợp tác chặt chẽ giữa các nhà điều hành mạng botnet và Storm-0940, công ty chỉ ra.

"CovertNetwork-1658 gửi một số lượng rất nhỏ các nỗ lực đăng nhập vào nhiều tài khoản tại một tổ chức mục tiêu", Microsoft cho biết. "Trong khoảng 80 phần trăm các trường hợp, CovertNetwork-1658 chỉ thực hiện một nỗ lực đăng nhập cho mỗi tài khoản mỗi ngày".

Người ta ước tính có tới 8.000 thiết bị bị xâm phạm đang hoạt động trong mạng tại bất kỳ thời điểm nào, mặc dù chỉ có 20 phần trăm trong số các thiết bị đó tham gia vào hoạt động phun mật khẩu.

Nhà sản xuất Windows cũng cảnh báo rằng cơ sở hạ tầng botnet đã chứng kiến "sự suy giảm ổn định và mạnh mẽ" sau khi công khai, làm dấy lên khả năng rằng những kẻ tấn công "có thể đang xây dựng cơ sở hạ tầng mới với dấu vân tay đã được sửa đổi" để tránh bị phát hiện.

Microsoft lưu ý rằng "Bất kỳ tác nhân đe dọa nào sử dụng cơ sở hạ tầng CovertNetwork-1658 đều có thể tiến hành các chiến dịch rải mật khẩu ở quy mô lớn hơn và làm tăng đáng kể khả năng xâm phạm thông tin đăng nhập thành công và truy cập ban đầu vào nhiều tổ chức trong một khoảng thời gian ngắn".

"Quy mô này, kết hợp với việc luân chuyển nhanh chóng các thông tin đăng nhập bị xâm phạm giữa CovertNetwork-1658 và các tác nhân đe dọa từ Trung Quốc, tạo ra khả năng xâm phạm tài khoản trên nhiều lĩnh vực và khu vực địa lý."