Quad7 ボットネット

サイバーセキュリティの専門家は、Quad7 というボットネットを使用して、高度で回避的なパスワード スプレー攻撃を実行する、Storm-0940 と呼ばれる中国の脅威アクターを特定しました。CovertNetwork-1658 とも呼ばれるこのボットネットは、さまざまな Microsoft 顧客から認証情報を盗むために使用されます。少なくとも 2021 年から活動している Storm-0940 は、パスワード スプレーやブルート フォース手法を使用するか、ネットワーク エッジ アプリケーションやサービスの脆弱性や構成ミスを狙って初期アクセスを獲得します。

攻撃者は多数の脆弱なデバイスを標的に

Storm-0940 は、シンクタンク、政府機関、NGO、法律事務所、防衛産業の部門など、北米とヨーロッパの組織に重点を置いていることで知られています。

Quad7 ボットネット (7777 または xlogin とも呼ばれる) は、研究者によって徹底的に研究されてきました。このマルウェアは、TP-Link、Zyxel、Asus、Axentra、D-Link、NETGEAR などの有名ブランドの SOHO ルーターと VPN デバイスを特に狙っています。

これらのデバイスは、既知のセキュリティ脆弱性と潜在的に未知のセキュリティ脆弱性の両方を利用して、リモート コード実行を実現することで侵害されます。ボットネットの名前「Quad7」は、感染したルーターに TCP ポート 7777 をリッスンしてリモート アクセスを可能にするバックドアが含まれていることに由来しています。

クアッドと攻撃陣が示した戦術

2024 年 9 月現在、このボットネットは主に Microsoft 365 アカウントに対するブルートフォース攻撃のために展開されているようで、これらの活動の背後には中国政府が支援する攻撃者がいる可能性が高いことが示唆されています。

Microsoft の評価によると、ボットネットの運営者は中国に拠点を置いており、複数の脅威アクターがパスワード スプレー攻撃にボットネットを利用してネットワークをさらに悪用しているようです。これらのフォローアップ活動には、横方向の移動、リモート アクセス トロイの木馬 (RAT) の展開、およびデータ流出の取り組みが含まれます。

Storm-0940 もこの手法を悪用するボットネットの 1 つです。このボットネットは、これらの攻撃で取得した有効な認証情報を使用して、標的の組織にアクセスしました。多くの場合、認証情報が侵害された当日にアクセスしています。標的型攻撃へのこの急速な移行は、ボットネット オペレーターと Storm-0940 の間に高度な連携があることを示しています。

一方、CovertNetwork-1658 はより抑制されたアプローチを採用しており、少数のログイン試行を標的の組織の複数のアカウントに分散しています。約 80% のケースでは、アクティビティは 1 日あたり 1 回のアカウントあたりのサインイン試行に制限されています。

Quad7 によって数千台のデバイスが侵害される

推定 8,000 台の侵害されたデバイスがネットワーク内で常時アクティブになっていると考えられており、これらのデバイスのうちパスワード スプレー攻撃に関与しているのはわずか 20% 程度です。

専門家は、ボットネット インフラストラクチャが公開されて以降、その数が大幅に減少していることを確認しており、脅威アクターが検出を回避するために指紋を変更した新しいインフラストラクチャを探している可能性があることを示唆しています。

CovertNetwork-1658 インフラストラクチャを利用すると、脅威アクターはより大規模なパスワードスプレー キャンペーンを開始できるようになり、資格情報を侵害して短期間で多数の組織への初期アクセスを獲得する可能性が大幅に高まります。

この広範囲にわたる攻撃範囲と、CovertNetwork-1658 と中国の脅威アクターの間で侵害された認証情報が急速にやり取りされることで、さまざまな分野や地域でアカウント侵害のリスクが高まります。

ボットネット活動の減速に注目した専門家は、トラフィックから Quad7 が依然として稼働していることが分かると指摘しています。ただし、侵害されたルーターのこの著しい減少は、目に見える侵害を反映しているだけであることを認識することが重要です。Quad7 オペレーターがデバイスをひそかに侵害し、検出を回避する方法を開発した可能性があります。