En un momento dado hay activos en la red hasta 8.000 dispositivos comprometidos
Microsoft ha revelado que un actor de amenazas chino al que rastrea como Storm-0940 está aprovechando una botnet llamada Quad7 para orquestar ataques altamente evasivos de difusión de contraseñas (password spray attacks en inglés).
El gigante tecnológico ha dado a la botnet el nombre CovertNetwork-1658, indicando que las operaciones de difusión de contraseñas se utilizan para robar credenciales de múltiples clientes de Microsoft.
"Activo desde al menos 2021, Storm-0940 obtiene acceso inicial a través de ataques de fuerza bruta y difusión de contraseñas, o explotando o haciendo mal uso de aplicaciones y servicios de borde de la red", dijo el equipo de Inteligencia de Amenazas de Microsoft.
"Se sabe que Storm-0940 tiene como objetivo organizaciones en América del Norte y Europa, incluidos grupos de expertos, organizaciones gubernamentales, organizaciones no gubernamentales, bufetes de abogados, bases industriales de defensa y otros".
Quad7, también conocido como 7777 o xlogin, ha sido objeto de extensos análisis por parte de Sekoia y Team Cymru en los últimos meses. Se ha observado que el malware botnet ataca a varias marcas de enrutadores SOHO y dispositivos VPN, incluidos TP-Link, Zyxel, Asus, Axentra, D-Link y NETGEAR.
Estos dispositivos se reclutan explotando fallos de seguridad conocidos y aún no determinados para obtener capacidades de ejecución remota de código. El nombre de la botnet es una referencia al hecho de que los enrutadores están infectados con una puerta trasera que escucha en el puerto TCP 7777 para facilitar el acceso remoto.
Sekoia dijo en septiembre de 2024 que la botnet se está utilizando principalmente para realizar intentos de fuerza bruta contra cuentas de Microsoft 365, y agregó que es probable que los operadores sean actores patrocinados por el estado chino.
Microsoft también ha evaluado que los mantenedores de la botnet se encuentran en China, y que múltiples actores de amenazas del país están usando la botnet para llevar a cabo ataques de difusión de contraseñas para actividades posteriores de explotación de la red informática (CNE), como movimiento lateral, implementación de troyanos de acceso remoto e intentos de exfiltración de datos.
Esto incluye Storm-0940, que según dice se ha infiltrado en organizaciones objetivo utilizando credenciales válidas obtenidas mediante ataques de difusión de contraseñas, en algunos casos el mismo día en que se extrajeron las credenciales. La "rápida transferencia operativa" implica una estrecha colaboración entre los operadores de la botnet y Storm-0940, señaló la compañía.
"CovertNetwork-1658 envía una cantidad muy pequeña de intentos de inicio de sesión a muchas cuentas de una organización de destino", afirmó Microsoft. "En aproximadamente el 80 por ciento de los casos, CovertNetwork-1658 realiza solo un intento de inicio de sesión por cuenta por día".
Se estima que en un momento dado hay activos en la red hasta 8.000 dispositivos comprometidos, aunque solo el 20 por ciento de esos dispositivos están involucrados en la difusión de contraseñas.
El fabricante de Windows también advirtió que la infraestructura de botnet ha sido testigo de un "declive constante y pronunciado" luego de la divulgación pública, lo que aumenta la posibilidad de que los actores de amenazas probablemente estén "adquiriendo nueva infraestructura con huellas digitales modificadas" para evadir la detección.
"Cualquier actor de amenazas que utilice la infraestructura CovertNetwork-1658 podría llevar a cabo campañas de difusión de contraseñas a mayor escala y aumentar en gran medida la probabilidad de éxito en la vulneración de credenciales y el acceso inicial a múltiples organizaciones en un corto período de tiempo", señaló Microsoft.
"Esta escala, combinada con una rápida transferencia operativa de credenciales comprometidas entre CovertNetwork-1658 y actores de amenazas chinos, permite la posibilidad de comprometer cuentas en múltiples sectores y regiones geográficas".