A Microsoft alertou sobre uma ameaça crescente vinda da China, com o grupo Storm-0940 empregando a botnet CovertNetwork-1658, também conhecida como Quad7, para realizar ataques de pulverização de senhas e roubo de credenciais. Essa ameaça visa organizações na América do Norte e Europa, como think tanks, ONGs, órgãos governamentais, escritórios de advocacia e setores de defesa, comprometendo principalmente dispositivos de rede com vulnerabilidades exploráveis, incluindo roteadores de marcas como TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR.
Microsoft alerta para botnet chinesa que explora falhas em roteadores para roubo de credenciais
Segundo a Microsoft, o Storm-0940 está em atividade desde 2021, obtendo acesso a redes por meio de ataques de força bruta e exploração de serviços de rede. O grupo se infiltra em organizações-alvo utilizando senhas comprometidas, com uma tática de login discreta: apenas uma tentativa de login por conta por dia em até 80% das contas.
Ações da botnet e vulnerabilidades em dispositivos
Relatórios das empresas de segurança Sekoia e Team Cymru apontam que o malware da botnet compromete dispositivos de rede de pequeno porte, como roteadores SOHO, adicionando backdoors que escutam na porta TCP 7777 para viabilizar acesso remoto. A Quad7 permite que seus operadores realizem ataques coordenados contra contas Microsoft 365, aumentando a chance de invasão e obtenção de dados confidenciais. Estima-se que cerca de 8.000 dispositivos infectados estejam ativos, sendo 20% deles responsáveis pelas tentativas de pulverização de senha.
Notícias Relacionadas
Alerta de segurança
Custom malware Pygmy Goat ataca firewalls Sophos em redes governamentais
A NCSC identificou o malware "Pygmy Goat," usado em ataques a dispositivos Sophos XG, com foco em redes governamentais. A análise aponta TTPs sofisticados de persistência e evasão.
Cybersegurança atual
Interlock: ransomware foca em servidores FreeBSD e amplia ameaças cibernéticas
O ransomware Interlock foca em servidores FreeBSD, causando preocupação em infraestruturas críticas com ataques de extorsão dupla.
Em setembro de 2024, Sekoia informou ao The Hacker News que os operadores da botnet são patrocinados pelo Estado chinês e conduzem ataques direcionados para acesso inicial e movimentação lateral na rede, com táticas de exfiltração de dados e trojans de acesso remoto.
Reação e contramedidas
Após a divulgação pública da atividade da CovertNetwork-1658, a Microsoft notou um declínio nas atividades da infraestrutura de botnet, sugerindo que os operadores podem estar adaptando táticas para evitar a detecção, possivelmente adquirindo nova infraestrutura com modificações nas assinaturas digitais para manter a operação. A empresa destacou a necessidade de monitoramento contínuo e fortalecimento da segurança em dispositivos de rede para proteger credenciais e dados corporativos.
Para organizações e usuários de roteadores, é crucial atualizar firmwares e implementar senhas robustas para reduzir a exposição a ataques.
