Red de bots Quad7
Los especialistas en ciberseguridad han identificado a un actor de amenazas chino, conocido como Storm-0940, que utiliza una botnet llamada Quad7 para llevar a cabo sofisticados y evasivos ataques de rociado de contraseñas. Esta botnet, también conocida como CovertNetwork-1658, se utiliza para robar credenciales de varios clientes de Microsoft. En funcionamiento desde al menos 2021, Storm-0940 obtiene acceso inicial empleando técnicas de rociado de contraseñas y fuerza bruta o apuntando a vulnerabilidades y configuraciones incorrectas en aplicaciones y servicios de borde de la red.
Tabla de contenido
Los atacantes atacan numerosos dispositivos vulnerables
Storm-0940 es reconocido por su enfoque en organizaciones de América del Norte y Europa, incluidos grupos de expertos, organismos gubernamentales, ONG, bufetes de abogados y sectores dentro de la industria de defensa.
La botnet Quad7, también llamada 7777 o xlogin, ha sido estudiada en profundidad por los investigadores. Este malware ha mostrado un enfoque particular en los routers SOHO y dispositivos VPN de varias marcas conocidas, como TP-Link, Zyxel, Asus, Axentra, D-Link y NETGEAR.
Estos dispositivos se ven comprometidos aprovechando vulnerabilidades de seguridad identificadas y potencialmente desconocidas para lograr la ejecución remota de código. El nombre de la botnet, Quad7, se debe al hecho de que los enrutadores infectados incluyen una puerta trasera que escucha en el puerto TCP 7777, lo que permite el acceso remoto.
Tácticas mostradas por el Quad y los atacantes
A partir de septiembre de 2024, la botnet parece estar implementada principalmente para ataques de fuerza bruta a cuentas de Microsoft 365, con indicios de que es probable que actores patrocinados por el estado chino estén detrás de estas operaciones.
La evaluación de Microsoft sugiere que los operadores de la botnet tienen su base en China, donde varios actores de amenazas la utilizan para realizar ataques de rociado de contraseñas con el fin de permitir una mayor explotación de la red. Estas actividades de seguimiento incluyen el movimiento lateral, la implementación de troyanos de acceso remoto (RAT) y esfuerzos de exfiltración de datos.
Storm-0940 es uno de los que explotan este método. Obtuvo acceso a las organizaciones objetivo utilizando credenciales válidas obtenidas a través de estos ataques, a menudo el mismo día en que se vieron comprometidas las credenciales. Esta rápida transición a la explotación dirigida indica un alto nivel de coordinación entre los operadores de la botnet y Storm-0940.
Mientras tanto, CovertNetwork-1658 emplea un enfoque más moderado, con una pequeña cantidad de intentos de inicio de sesión distribuidos entre varias cuentas de una organización específica. En aproximadamente el 80 % de los casos, la actividad se limita a un único intento de inicio de sesión por cuenta por día.
Miles de dispositivos comprometidos por Quad7
Se estima que hay unos 8.000 dispositivos comprometidos activos dentro de la red en un momento dado, y solo alrededor del 20 por ciento de estos dispositivos participan en ataques de robo de contraseñas.
Los expertos han observado una disminución significativa en la infraestructura de la botnet luego de su exposición pública, lo que sugiere que los actores de amenazas podrían estar buscando una nueva infraestructura con huellas digitales alteradas para evitar ser detectados.
El uso de la infraestructura CovertNetwork-1658 permite a cualquier actor de amenazas lanzar campañas de difusión de contraseñas a una escala mucho mayor, lo que mejora significativamente las posibilidades de comprometer con éxito las credenciales y obtener acceso inicial a numerosas organizaciones en un corto período.
Este amplio alcance, junto con la rápida rotación de credenciales comprometidas entre CovertNetwork-1658 y actores de amenazas chinos, aumenta el riesgo de vulneraciones de cuentas en diversos sectores y regiones.
Los expertos que han notado la disminución de la actividad de la botnet indican que el tráfico sigue mostrando que Quad7 sigue en funcionamiento. Sin embargo, es esencial reconocer que esta marcada disminución de los enrutadores comprometidos solo refleja brechas visibles. Existe la posibilidad de que los operadores de Quad7 hayan desarrollado métodos para comprometer los dispositivos de manera discreta y evitar ser detectados.
