Microsoft telah mengungkapkan bahwa aktor ancaman Tiongkok yang dilacaknya sebagai Storm-0940 memanfaatkan botnet bernama Quad7 untuk mengatur serangan semprotan kata sandi yang sangat mengelak.
Raksasa teknologi tersebut telah memberi nama botnet tersebut CovertNetwork-1658, yang menyatakan bahwa operasi penyemprotan kata sandi digunakan untuk mencuri kredensial dari banyak pelanggan Microsoft.
“Aktif setidaknya sejak tahun 2021, Storm-0940 memperoleh akses awal melalui semprotan kata sandi dan serangan brute force, atau dengan mengeksploitasi atau menyalahgunakan aplikasi dan layanan tepi jaringan,” kata tim Microsoft Threat Intelligence.
“Storm-0940 diketahui menargetkan organisasi-organisasi di Amerika Utara dan Eropa, termasuk lembaga think tank, organisasi pemerintah, organisasi non-pemerintah, firma hukum, basis industri pertahanan, dan lain-lain.”
Quad7, alias 7777 atau xlogin, telah menjadi subjek analisis ekstensif oleh Sekoia dan Tim Cymru dalam beberapa bulan terakhir. Malware botnet diketahui menargetkan beberapa merek router SOHO dan peralatan VPN, termasuk TP-Link, Zyxel, Asus, Axentra, D-Link, dan NETGEAR.
Perangkat ini direkrut dengan mengeksploitasi kelemahan keamanan yang diketahui dan belum diketahui untuk mendapatkan kemampuan eksekusi kode jarak jauh. Nama botnet mengacu pada fakta bahwa router terinfeksi dengan pintu belakang yang mendengarkan port TCP 7777 untuk memfasilitasi akses jarak jauh.
Sekoia mengatakan kepada The Hacker News pada bulan September 2024 bahwa botnet tersebut terutama digunakan untuk melakukan upaya kekerasan terhadap akun Microsoft 365, dan menambahkan bahwa operator tersebut kemungkinan besar adalah aktor yang disponsori oleh negara Tiongkok.
Microsoft juga menilai bahwa pengelola botnet berlokasi di Tiongkok, dan bahwa beberapa pelaku ancaman dari negara tersebut menggunakan botnet untuk melakukan serangan penyemprotan kata sandi untuk aktivitas eksploitasi jaringan komputer (CNE) lanjutan, seperti pergerakan lateral, penyebaran jarak jauh. mengakses trojan, dan upaya eksfiltrasi data.
Ini termasuk Storm-0940, yang dikatakan telah menyusup ke organisasi target menggunakan kredensial valid yang diperoleh melalui serangan semprotan kata sandi, dalam beberapa kasus pada hari yang sama kredensial tersebut diambil. “Serah terima operasional cepat” menyiratkan kolaborasi erat antara operator botnet dan Storm-0940, kata perusahaan itu.
“CovertNetwork-1658 mengirimkan sejumlah kecil upaya masuk ke banyak akun di organisasi target,” kata Microsoft. “Pada sekitar 80 persen kasus, CovertNetwork-1658 hanya melakukan satu upaya masuk per akun per hari.”
Sebanyak 8.000 perangkat yang disusupi diperkirakan aktif di jaringan pada suatu waktu tertentu, meskipun hanya 20 persen dari perangkat tersebut yang terlibat dalam penyemprotan kata sandi.
Pembuat Windows ini juga memperingatkan bahwa infrastruktur botnet telah mengalami “penurunan yang stabil dan tajam” setelah pengungkapan publik, meningkatkan kemungkinan bahwa pelaku ancaman “kemungkinan memperoleh infrastruktur baru dengan sidik jari yang dimodifikasi” untuk menghindari deteksi.
“Setiap pelaku ancaman yang menggunakan infrastruktur CovertNetwork-1658 dapat melakukan kampanye penyemprotan kata sandi dalam skala yang lebih besar dan sangat meningkatkan kemungkinan berhasilnya kompromi kredensial dan akses awal ke banyak organisasi dalam waktu singkat,” kata Microsoft.
“Skala ini, dikombinasikan dengan pergantian operasional yang cepat atas kredensial yang disusupi antara CovertNetwork-1658 dan pelaku ancaman Tiongkok, memungkinkan terjadinya potensi penyusupan akun di berbagai sektor dan wilayah geografis.”