Microsoft advierte que los actores de amenazas chinos utilizan la botnet Quad7, que está compuesta por enrutadores SOHO pirateados, para robar credenciales en ataques de rociado de contraseñas.
Quad7, también conocida como CovertNetwork-1658 o xlogin, es una botnet descubierta por primera vez por el investigador de seguridad Gi7w0rm que consta de enrutadores SOHO pirateados.
Informes posteriores de Sekoia y Team Cymru informaron que los actores de amenazas están apuntando a enrutadores y dispositivos de red de TP-Link, ASUS, dispositivos inalámbricos Ruckus, dispositivos NAS Axentra y dispositivos VPN Zyxel.
Cuando los dispositivos se ven comprometidos, los actores de amenazas implementan malware personalizado que permite el acceso remoto a los dispositivos a través de Telnet, que muestra banners de bienvenida únicos según el dispositivo comprometido:
xlogin: Telnet vinculado al puerto TCP 7777 en enrutadores TP-Link
alogin: Telnet vinculado al puerto TCP 63256 en enrutadores ASUS
rlogin: Telnet vinculado al puerto TCP 63210 en dispositivos inalámbricos Ruckus.
axlogin: banner de Telnet en dispositivos NAS de Axentra (puerto desconocido, ya que no se ha visto en la red)
zylogin: Telnet vinculado al puerto TCP 3256 en dispositivos VPN de Zyxel
Otros instalados, los actores de amenazas instalan un servidor proxy SOCKS5 que se utiliza para retransmitir ataques maliciosos mientras se mezcla con el tráfico legítimo para evadir la detección.
Si bien la botnet no se había atribuido a un actor de amenazas en particular, Team Cymru rastreó el software proxy utilizado en estos enrutadores hasta un usuario que vivía en Hangzhou, China.
Al realizar los ataques de rociado de contraseñas, Microsoft dice que los actores de amenazas no son agresivos, solo intentan iniciar sesión unas pocas veces por cuenta, probablemente para evitar activar cualquier alarma.
Sin embargo, una vez que se roban las credenciales, Microsoft ha observado que Storm-0940 las utiliza para vulnerar las redes objetivo, a veces el mismo día en que fueron robadas.
Una vez que se vulnera la red, los actores de la amenaza se propagan más a través de la red al volcar las credenciales e instalar RAT y herramientas proxy para la persistencia en la red.
El objetivo final del ataque es exfiltrar datos de la red objetivo, probablemente con fines de ciberespionaje.