Компанія Microsoft повідомила про виявлення серйозної кіберзагрози від китайського хакерського угруповання Storm-0940.

Storm-0940 використовує ботнет Quad7 (або CovertNetwork-1658) для проведення атак із застосуванням методу «розпорошення паролів». Ці атаки спрямовані на крадіжку облікових даних у різних клієнтів Microsoft, включаючи організації з Північної Америки та Європи, такі як аналітичні центри, урядові структури, НУО, юридичні фірми та компанії оборонного сектору.

Угруповання Storm-0940 діє як мінімум з 2021 року. Воно отримує доступ до систем за допомогою атак, пов'язаних із підбором паролів та експлуатації вразливостей у мережевих додатках та сервісах. Ботнет Quad7 орієнтований на маршрутизатори SOHO та VPN-пристрої різних брендів, таких як TP-Link, Zyxel, Asus, Axentra, D-Link та NETGEAR, використовуючи як відомі, так і невиявлені вразливості для віддаленого виконання коду.

Шкідливе програмне забезпечення впроваджує бекдор, який прослуховує порт TCP 7777, забезпечуючи віддалений доступ. За оцінками, в мережі знаходиться близько 8000 інфікованих пристроїв, проте лише 20% з них беруть активну участь в атаках з розпилення паролів.

Microsoft з'ясувала, що ботнет Quad7 управляється зловмисниками з Китаю, і вони використовують його для атак з метою експлуатації мереж (CNE), впровадження троянів віддаленого доступу та крадіжки даних. У деяких випадках Storm-0940 отримували доступ до цілей за допомогою дійсних облікових даних, отриманих у день атаки.

Після того, як ця інформація стала публічною, Microsoft відзначила різке зниження активності ботнета, що вказує на можливі зміни в його інфраструктурі для уникнення виявлення.