مایکروسافت هشدار داد که عامل تهدید چینی تحت عنوان Storm-0940، با سواستفاده از روترهای هک شده SOHO از باتنت Quad7 برای سازماندهی حملات اسپری رمز عبور و سرقت اطلاعات استفاده میکند.
مایکروسافت که این باتنت را CovertNetwork-1658 نامید، بیان کرد که عملیات اسپری رمز عبور برای سرقت اطلاعات کاربری چندین مشتری مایکروسافت استفاده میشود. تیم مایکروسافت Threat Intelligence گفت: Storm-0940 از طریق اسپری رمز عبور و حملات brute-force، با اکسپلویت یا سوء استفاده از اپلیکیشنها و سرویسهای edge شبکه، دسترسی اولیه را به دست آورده است. Quad7، با نام مستعار 7777، CovertNetwork-16 یا xlogin در ماههای اخیر موضوع تجزیه و تحلیلهای گستردهای توسط Sekoia و Team Cymru بوده است.
بر اساس مشاهدات بدافزار بات نت چندین برند از روترهای SOHO و تجهیزات VPN از جمله TP-Link، Asus، D-Link NETGEAR و دستگاههای بیسیم Ruckus، دستگاههای Axentra NAS و تجهیزات Zyxel VPN را هدف قرار داده است. این دستگاهها با اکسپلویت نقصهای امنیتی شناخته شده و هنوز نامشخص برای به دست آوردن قابلیتهای اجرای کد از راه دور به کار گرفته میشوند. این باتنت، روترها به یک درب پشتی آلوده میکند که با گوش دادن به پورت TCP 7777، دسترسی از راه دور را تسهیل میکند.
https://www.bleepingcomputer.com/news/security/microsoft-chinese-hackers-use-quad7-botnet-to-steal-credentials/
https://thehackernews.com/2024/11/microsoft-warns-of-chinese-botnet.html
