微软公司周四发出警告，称有黑客利用一个由数千台路由器、摄像头及其他联网设备组成的僵尸网络，对微软 Azure 云服务的用户发起高度隐蔽的密码喷洒式攻击。

这个恶意网络几乎完全由 TP-Link 路由器构成，2023 年 10 月首次被一位研究人员记录在案，该研究人员将其命名为 Botnet - 7777。这个在巅峰时期由超过 16000 台被入侵设备组成、分布在各地的集合之所以叫这个名字，是因为它在 7777 端口暴露其恶意软件。

大规模的账号劫持

今年 7 月和 8 月，来自 Sekoia.io 和 Team Cymru 的安全研究人员报告称，该僵尸网络仍在运行。这三份报告均指出，Botnet - 7777 被巧妙地用于执行密码喷洒式攻击，这是一种从许多不同 IP 地址发送大量登录尝试的攻击形式。由于每台单独的设备会限制登录尝试次数，这种精心协调的账号劫持活动很难被目标服务检测到。

周四，微软报告称，CovertNetwork - 1658（微软用来追踪该僵尸网络的名称）正被多个威胁行为体利用，试图入侵目标 Azure 账号。该公司表示，这些攻击 “高度隐蔽”，因为这个如今平均规模约为 8000 台设备的僵尸网络煞费苦心地隐藏其恶意活动。

微软官方人员写道：“任何使用 CovertNetwork - 1658 基础设施的威胁行为体都能更大规模地开展密码喷洒式攻击活动，并在短时间内大幅增加成功窃取凭证并初次入侵多个组织的可能性。这种规模，再加上 CovertNetwork - 1658 和威胁行为体之间被入侵凭证的快速周转运作，使得跨多个行业和地理区域的账号被入侵存在潜在可能。”

导致检测困难的一些特征如下：

CovertNetwork - 1658 的活动在最近几个月有所减少，但微软评估认为，这并非是因为威胁行为体缩减了其操作。相反，该僵尸网络正在 “获取新的基础设施，其指纹与已公开披露的有所不同”。

微软点名使用该僵尸网络的其中一个威胁组织被追踪为 Storm - 0940。该组织经常以北美和欧洲的智库、政府机构、非政府组织、律师事务所、国防工业基地等为目标。一旦目标 Azure 账号被入侵，威胁行为体就会尝试横向移动到受感染网络的其他部分。威胁行为体还会尝试窃取数据并安装远程访问木马。

微软写道：

微软已经观察到许多案例，其中 Storm - 0940 通过 CovertNetwork - 1658 的密码喷洒式操作获取的有效凭证，获得了对目标组织的初次访问权限。在某些情况下，观察到 Storm - 0940 使用当天从 CovertNetwork - 1658 基础设施获取的被入侵凭证。这种被入侵凭证的快速交接运作证明了 CovertNetwork - 1658 的运营者和 Storm - 0940 之间很可能存在密切的工作关系。

目前尚不清楚这些被入侵的僵尸网络设备最初是如何被感染的。不管原因是什么，一旦设备被利用，威胁行为体通常会采取以下行动：

从远程 FTP 服务器下载 xlogin 后门二进制文件

利用下载的 Telnet 和 xlogin 二进制文件在 TCP 端口 7777 上启动一个受访问控制的命令行外壳

连接并认证到在 TCP 端口 7777 上监听的 xlogin 后门

将一个 SOCKS5 服务器二进制文件下载到路由器

在 TCP 端口 11288 上启动 SOCKS5 服务器

微软并未就 TP - Link 路由器和其他受影响设备的用户如何预防或检测感染给出建议。过去许多专家都指出，大多数此类受感染设备在重启后无法正常运行，因为恶意软件无法写入它们的存储设备。这意味着定期重启可以对设备进行杀毒，尽管之后可能无法阻止再次感染。