Botnet Quad7
Des spécialistes de la cybersécurité ont identifié un acteur chinois connu sous le nom de Storm-0940, qui utilise un botnet nommé Quad7 pour mener des attaques sophistiquées et évasives par pulvérisation de mots de passe. Ce botnet, également appelé CovertNetwork-1658, est utilisé pour voler les identifiants de plusieurs clients Microsoft. Opérant depuis au moins 2021, Storm-0940 obtient un accès initial en utilisant des techniques de pulvérisation de mots de passe et de force brute ou en ciblant les vulnérabilités et les erreurs de configuration dans les applications et services de périphérie du réseau.
Table des matières
Les attaquants ciblent de nombreux appareils vulnérables
Storm-0940 est reconnu pour son attention portée aux organisations d’Amérique du Nord et d’Europe, notamment les groupes de réflexion, les organismes gouvernementaux, les ONG, les cabinets d’avocats et les secteurs de l’industrie de la défense.
Le botnet Quad7, également appelé 7777 ou xlogin, a été étudié en profondeur par les chercheurs. Ce malware s'est particulièrement concentré sur les routeurs SOHO et les appareils VPN de plusieurs marques bien connues, telles que TP-Link, Zyxel, Asus, Axentra, D-Link et NETGEAR.
Ces appareils sont compromis en exploitant des vulnérabilités de sécurité identifiées et potentiellement inconnues pour exécuter du code à distance. Le nom du botnet, Quad7, vient du fait que les routeurs infectés incluent une porte dérobée qui écoute sur le port TCP 7777, permettant l'accès à distance.
Tactiques affichées par le Quad et les attaquants
En septembre 2024, le botnet semble être principalement déployé pour des attaques par force brute sur les comptes Microsoft 365, avec des indications selon lesquelles des acteurs parrainés par l'État chinois sont probablement derrière ces opérations.
L'évaluation de Microsoft suggère que les opérateurs du botnet sont basés en Chine, où plusieurs acteurs malveillants l'utilisent pour des attaques de type « password spray » (spray de mots de passe) afin de permettre une exploitation plus poussée du réseau. Ces activités de suivi comprennent des mouvements latéraux, le déploiement de chevaux de Troie d'accès à distance (RAT) et des efforts d'exfiltration de données.
Storm-0940 fait partie de ceux qui exploitent cette méthode. Il a pu accéder aux organisations ciblées en utilisant des identifiants valides obtenus grâce à ces attaques, souvent le jour même où les identifiants ont été compromis. Cette transition rapide vers une exploitation ciblée indique un niveau élevé de coordination entre les opérateurs de botnet et Storm-0940.
Parallèlement, CovertNetwork-1658 adopte une approche plus restreinte, avec un petit nombre de tentatives de connexion réparties sur plusieurs comptes d'une organisation ciblée. Dans environ 80 % des cas, l'activité se limite à une seule tentative de connexion par compte chaque jour.
Des milliers d'appareils compromis par Quad7
On estime qu'environ 8 000 appareils compromis sont actifs sur le réseau à un moment donné, et seulement 20 % d'entre eux participent à des attaques de pulvérisation de mots de passe.
Les experts ont observé un déclin significatif de l’infrastructure du botnet après son exposition publique, ce qui suggère que les acteurs de la menace pourraient rechercher une nouvelle infrastructure avec des empreintes digitales modifiées pour éviter d’être détectés.
L'utilisation de l'infrastructure CovertNetwork-1658 permet à tout acteur malveillant de lancer des campagnes de diffusion de mots de passe à une échelle beaucoup plus grande, améliorant considérablement les chances de compromettre avec succès les informations d'identification et d'obtenir un accès initial à de nombreuses organisations sur une courte période.
Cette portée étendue, associée à la rotation rapide des informations d’identification compromises entre CovertNetwork-1658 et les acteurs malveillants chinois, augmente le risque de compromission de comptes dans divers secteurs et régions.
Les experts qui ont noté le ralentissement de l'activité des botnets indiquent que le trafic montre que Quad7 reste opérationnel. Cependant, il est essentiel de reconnaître que cette diminution marquée du nombre de routeurs compromis ne reflète que des failles visibles. Il est possible que les opérateurs de Quad7 aient développé des méthodes pour compromettre les appareils discrètement et éviter d'être détectés.
