مایکروسافت هشدار داده است که هکرهای چینی از بات نت Quad7 (با نام مستعار Botnet-7777، CovertNetwork-1658 و xlogin) که متشکل از هزاران روتر هک شده است برای سرقت اطلاعات کاربری و انجام حملات password spray استفاده میکنند.
این بات نت اولین بار در اکتبر 2023 توسط محقق امنیتی Gi7w0rm کشف شد که به دلیل استفاده از پورت 7777 آن را Botnet-7777 نامید. مایکروسافت، بات نت Quad7 را به گروه Storm-0940 چینی نسبت داده است.
این بات نت به طور گسترده به روترها و دستگاههای شبکه از TP-Link و Asus، دستگاههای بیسیم Ruckus، NAS Axentra و VPN Zyxel حمله میکند.
هکرها پس از هک دستگاهها، بدافزار سفارشی را روی آنها مستقر میکنند که امکان دسترسی از راه دور به دستگاهها را از طریق Telnet فراهم میآورد و بسته به دستگاه آسیب پذیر، بنرهای مختلفی را نمایش میدهد:
- xlogin- سرویس Telnetبه پورت TCP 7777 در روترهای TP-Linkمتصل میشود.
- Alogin- سرویس Telnetبه پورت TCP 63256در روترهای ASUSمتصل میشود.
- rlogin – سرویس Telnetبه پورت TCP 63210در دستگاههای Ruckusمتصل میشود.
- Axlogin- بنر Telnet در دستگاههای Axentra NAS نمایش داده میشود.
- Zylogin- سرویس Telnetبه پورت TCP 3256در دستگاههای Zyxel VPNمتصل میشود.
هکرها در برخی موارد، یک سرور پروکسی SOCKS5 را بر روی دستگاههای هک شده نصب میکنند که برای پروکسی کردن حملات و جلوگیری از شناسایی، با ترافیک قانونی ترکیب میشود.
بات نت Quad7، تاکنون توانسته است چندین برند از روترهای SOHO (روترهای خانگی و اداری کوچک) و دستگاههای VPN از جمله TP-Link، Zyxel، Asus، Axentra، D-Link و NETGEAR را هدف قرار دهد.
به گفته مایکروسافت، هکرهای پشت بات نت Quad7 هنگام انجام حملات password spray ، تهاجمی عمل نمیکنند و فقط سعی دارند چند بار در هر حساب کاربری وارد شوند و از ایجاد هر گونه هشدار جلوگیری کنند.
گروه Storm-0940 گاهی اوقات، پس از سرقت اطلاعات، از آنها برای به نفوذ به شبکههای هدف درست در همان روز حمله استفاده میکند. هنگامی که هکرها به شبکه هدف نفوذ کردند، با سرقت اطلاعات بیشتر و نصب ابزارهای RAT و پروکسی و حرکت حانبی در شبکه به کار خود ادامه میدهند. هدف نهایی از چنین حملاتی، سرقت داده، احتمالاً به منظور جاسوسی سایبری است.
لازم به ذکر است که محققان هنوز دقیقاً تعیین نکردهاند که اپراتورهای Quad7 چگونه روترها و سایر دستگاههای شبکه را هک میکنند اما متخصصان Sekoia قبلا گفته بودند که یکی از هانی پاتهای این شرکت توسط Quad7 با استفاده از یک آسیب پذیری روز صفر در OpenWRT هک شده است. اما نحوه هک کردن سایر دستگاهها توسط مهاجمان هنوز مشخص نیست.
توصیهها
سازمانها میتوانند با رعایت نکات امنیتی در برابر حملات password spray از خود دفاع کنند. مایکروسافت برای کاهش تأثیر این تهدید اقدامات زیر را توصیه میکند:
- احراز هویت چند عاملی (MFA) را در همه اکانتها اجرا کنید.
- از راه حلهای امنیتی ابری برای شناسایی تهدیدات یا اکانتهای هک شده استفاده کنید.
- اکانتهای قدیمی یا استفاده نشده را غیرفعال کنید.
- گذرواژههای اکانتهای هک شده را بازنشانی کنید.
- مجوزها و سطح دسترسی اکانتها را محدود کنید.
- معیارهای امنیتی Azure و بهترین شیوههای عمومی برای ایمن سازی زیرساختها را اجرا کنید.
- به کاربران در مورد حملات فیشینگ و سرقت دادههای احراز هویت آموزش دهید.
منابع
مقالات پیشنهادی:
نبرد ایران با حمله بات نت ها از ۱۷۴ کشور دنیا!!
تکامل بات نت P2Pinfect توسط پیلودهای ماینر و باج افزار
راه اندازی حملات DDoS توسط بات نت Zergeca مبتنی بر Golang
سوء استفاده بات نت Muhstik از آسیب پذیری Apache RocketMQ
بات نت Gorilla بیش از سیصد هزار حمله DDoS را راه اندازی کرده است!