
Компания Microsoft сообщила о выявлении сложной киберугрозы, исходящей от китайской группировки Storm-0940, которая использует ботнет Quad7, также известный как CovertNetwork-1658, для проведения атак методом «распыления паролей». Эти атаки нацелены на кражу учётных данных у нескольких клиентов Microsoft, включая организации в Северной Америке и Европе, такие как аналитические центры, правительственные организации, неправительственные организации, юридические фирмы и оборонно-промышленные базы.
Storm-0940 активен по крайней мере с 2021 года и получает первоначальный доступ посредством атак с использованием паролей и методом подбора, а также путём эксплуатации или ненадлежащего использования сетевых приложений и служб. Ботнет Quad7 нацелен на несколько марок маршрутизаторов SOHO и устройств VPN, включая TP-Link, Zyxel, Asus, Axentra, D-Link и NETGEAR, используя известные и пока ещё не определенные уязвимости безопасности для получения возможностей удалённого выполнения кода.

Вредоносное ПО ботнета заражает устройства бэкдором, который прослушивает порт TCP 7777 для облегчения удалённого доступа. По оценкам, в любой момент времени в сети активны около 8000 скомпрометированных устройств, хотя только 20% из них задействованы в распылении паролей.
Microsoft установила, что владельцы ботнета находятся в Китае, и многочисленные злоумышленники из этой страны используют ботнет для проведения атак с целью последующей эксплуатации компьютерных сетей (CNE), например, для развёртывания троянов удалённого доступа и попыток кражи данных.
Storm-0940, в частности, проник в целевые организации, используя действительные учётные данные, полученные с помощью атак с использованием паролей, в некоторых случаях в тот же день, когда учётные данные были извлечены.
Microsoft также предупредила, что после публичного раскрытия информации инфраструктура ботнетов демонстрирует «устойчивый и резкий спад», что повышает вероятность того, что злоумышленники «вероятно приобретают новую инфраструктуру с изменениями», чтобы избежать обнаружения.
-
03.11.2024 23:03:00 | iXBT.com
03.11.2024 22:33:00 | iXBT.com
03.11.2024 22:25:00 | iXBT.com
03.11.2024 22:16:00 | iXBT.com
03.11.2024 22:08:00 | iXBT.com
03.11.2024 21:00:00 | iXBT.com
03.11.2024 20:51:00 | iXBT.com
03.11.2024 20:41:00 | iXBT.com
03.11.2024 20:36:00 | iXBT.com
03.11.2024 20:25:00 | iXBT.com
03.11.2024 20:20:00 | iXBT.com
03.11.2024 20:09:00 | iXBT.com
03.11.2024 19:56:00 | iXBT.com
03.11.2024 19:38:00 | iXBT.com
03.11.2024 19:16:00 | iXBT.com
03.11.2024 18:17:00 | iXBT.com
03.11.2024 15:17:00 | iXBT.com
03.11.2024 15:06:00 | iXBT.com
03.11.2024 14:22:00 | iXBT.com
03.11.2024 13:34:00 | iXBT.com
03.11.2024 13:12:00 | iXBT.com
03.11.2024 13:10:00 | iXBT.com
03.11.2024 12:42:00 | iXBT.com
03.11.2024 12:25:00 | iXBT.com
02.11.2024 23:34:00 | iXBT.com
02.11.2024 23:23:00 | iXBT.com
02.11.2024 23:14:00 | iXBT.com
02.11.2024 23:12:36 | Ведомости
-
09.03.2025 12:00:51 | ferra.ru
09.03.2025 11:41:27 | Хабр
09.03.2025 10:00:45 | Хабр
09.03.2025 09:42:12 | Хабр
09.03.2025 09:25:11 | Хабр
09.03.2025 08:31:04 | Хабр
09.03.2025 08:17:00 | ferra.ru
09.03.2025 08:03:04 | Хабр
Техническая поддержка проекта ВсеТут