Компания Microsoft сообщила о выявлении серьезной киберугрозы от китайской хакерской группировки Storm-0940.

Storm-0940 использует ботнет Quad7 (или CovertNetwork-1658) для проведения атак с применением метода «распыления паролей». Эти атаки направлены на кражу учетных данных у различных клиентов Microsoft, включая организации из Северной Америки и Европы, такие как аналитические центры, правительственные структуры, НПО, юридические фирмы и компании оборонного сектора.

Группировка Storm-0940 действует как минимум с 2021 года. Она получает доступ к системам посредством атак, связанных с подбором паролей и эксплуатации уязвимостей в сетевых приложениях и сервисах. Ботнет Quad7 ориентирован на маршрутизаторы SOHO и VPN-устройства различных брендов, таких как TP-Link, Zyxel, Asus, Axentra, D-Link и NETGEAR, используя как известные, так и невыявленные уязвимости для удаленного выполнения кода.

Вредоносное ПО внедряет бэкдор, который прослушивает порт TCP 7777, обеспечивая удаленный доступ. По оценкам, в сети находится около 8000 инфицированных устройств, однако лишь 20% из них активно участвуют в атаках по распылению паролей.

Microsoft выяснила, что ботнет Quad7 управляется злоумышленниками из Китая, и они используют его для атак с целью эксплуатации сетей (CNE), внедрения троянов удаленного доступа и кражи данных. В некоторых случаях Storm-0940 получала доступ к целям с помощью действительных учетных данных, полученных уже в день атаки.

После того как эта информация стала публичной, Microsoft отметила резкое снижение активности ботнета, что указывает на возможные изменения в его инфраструктуре для избегания обнаружения.