图片源于:https://www.firstpost.com/tech/china-launched-major-botnet-thats-attacking-users-all-over-the-world-reveals-microsoft-13831678.html
微软近日揭露了一个重大网络威胁,涉及一个被称为Quad7的中国僵尸网络,该僵尸网络 reportedly 正在全球范围内针对组织实施复杂的密码喷射攻击。
这一僵尸网络由被识别为Storm-0940的团体进行操作,旨在突破网络并窃取凭证,从而为后续的侵入性和潜在破坏性的网络活动铺平道路。
根据微软的报告,这场攻击活动的主要目标显然是进行间谍活动,目标包括智库、政府机构、非政府组织(NGO)、律师事务所以及国防工业等高价值实体。
攻击手法精密而隐秘,Storm-0940的攻击策略经过深思熟虑,难以被发现。
该僵尸网络通过一个被称为CovertNetwork-1658的子组,向目标组织内的各种账户提交最小登录尝试,确保其活动保持低调。
微软的报告显示,在大约80%情况下,CovertNetwork-1658每天仅对每个账户进行一次登录尝试,这一策略旨在避免传统安全监测系统的侦测。
一旦攻击者成功突破一个账户,他们的后续行动就迅速展开。
微软透露,在某些情况下,在成功猜测密码的同一天,攻击者就会发起进一步的入侵。
他们在获得访问权限后的初步行动包括提取额外的凭证,并部署远程访问工具(RAT)和代理,以维持他们在网络内的立足点。
Quad7的目标范围不断扩大并伴随恶意软件聚集体的形成,这一情况令人担忧。
Quad7并非陌生的威胁,它在2024年9月首次受到了广泛关注,当时其开始展示新的特性并扩大目标范围。
最初由研究人员Gi7w0rm发现并由Sekoia专家进行分析,该僵尸网络最初主要针对TP-Link路由器。
然而,它迅速演变为针对其他设备,如ASUS路由器,并进一步扩展到破坏Zyxel VPN终端、Ruckus无线路由器以及Axentra媒体服务器。
攻击者开发了定制的恶意软件以入侵这些设备,为不同目标创建了独特的感染聚集体。
每个聚集体都采用了针对特定设备的定制登录方法;例如,专为Ruckus设备设计的聚集体被称为’rlogin’,而其他聚集体则包括’xlogin’、’alogin’、’axlogin’ 和 ‘zylogin’。
这些聚集体的规模差异显著,有些聚集体涉及成千上万的感染设备,而其他聚集体可能仅涉及两台。
Quad7扩展操作的发现突显了全球网络威胁日益复杂的局面。
使用SOHO(小型办公室/家庭办公室)路由器作为入口的策略表明,攻击者在利用较弱端点以绕过传统企业安全防御方面的战术有所转变。
通过定制恶意软件并部署隐蔽的登录尝试,Storm-0940及其附属团体展示了高度的网络复杂性。
微软的发现强调了全球范围内组织实施强有力安全措施和持续监测的重要性。
尽管Quad7的影响力和覆盖范围持续增长,网络安全专家正在呼吁组织加强防御,特别是在保护可能作为攻击入口的路由器和网络端点方面。