Microsoft は、重大なサイバー脅威について警鐘を鳴らしたところです。 Quad7と呼ばれる洗練された中国のボットネットが、西側の組織に対して大規模な攻撃を行っていることが、テクノロジー巨人のサイバーセキュリティ専門家からの新しいレポートで明らかになった。
Storm-0940 として識別されるこの悪意のあるグループは、特に陰湿な攻撃戦略を展開します。彼らのやり方?異なるパスワードを使用して組織的にログインを試行します。これは「パスワード スプレー」として知られる手法です。アクセスが得られたら、ハッカーは、侵害されたシステムにすぐに永続的な存在を確立します。
Microsoft によると、この攻撃キャンペーンは主にスパイ行為をターゲットとしています。彼らの視野には、シンクタンク、政府機関、NGO、法律事務所、防衛産業が含まれます。これらの攻撃の巧妙さは、慎重に調整された作戦。
こちらもお読みください–史上最大のボットネットが解体されました。その規模には本当に驚かされます
中国のボットネットは非常に特殊な機能を持っています
このグループの手口は特に巧妙だ。 Microsoft は、攻撃者が使用するインフラストラクチャである CovertNetwork-1658 が細心の注意を払って進行していることを観察しています。 「約 80% のケースで、アカウントごとに 1 日に 1 つの接続しか試行されません。», 研究者を指定します。この慎重なアプローチにより、次のことが可能になります。従来のセキュリティ システムによる検出を回避します。
Quad7 ボットネットは、ポート 7777 を好むことからその名前が付けられ、進化し続けています。研究者の Gi7w0rm と Sekoia チームによって最初に発見されたこのウイルスは、TP-Link ルーターのみを対象としていました。現在、その兵器庫は大幅に拡大し、ASUS ルーター、Zyxel VPN ホットスポット、Ruckus ワイヤレス ルーター、Axentra メディア サーバーが含まれています。
攻撃者はデバイスの種類ごとにカスタマイズされたマルウェアを開発し、さまざまな感染「クラスター」を作成します。 「ログイン」という用語のバリエーション (rlogin、xlogin、allogin など) によって識別されるこれらのグループは、サイズが異なります。感染したデバイスが数千台あるものもあれば、ほんの数台しかないものもあります。
特に懸念されるのは、海賊たちの行動の速さです。場合によっては、パスワードが発見されたその日にシステムが侵害され、アクセスを維持するためにリモート アクセス ツール (RAT) やプロキシが即座にインストールされることがあります。したがって、上記のルーターのいずれかを使用している場合は、そのセキュリティがこの新しい中国のボットネットによって侵害されている可能性があるため、特に注意することをお勧めします。
