微软公司周四发出警告,称有黑客利用一个由数千台路由器、摄像头及其他联网设备组成的僵尸网络,对微软 Azure 云服务的用户发起高度隐蔽的密码喷洒式攻击。
这个恶意网络几乎完全由 TP-Link 路由器构成,2023 年 10 月首次被一位研究人员记录在案,该研究人员将其命名为 Botnet - 7777。这个在巅峰时期由超过 16000 台被入侵设备组成、分布在各地的集合之所以叫这个名字,是因为它在 7777 端口暴露其恶意软件。
大规模的账号劫持
今年 7 月和 8 月,来自 Sekoia.io 和 Team Cymru 的安全研究人员报告称,该僵尸网络仍在运行。这三份报告均指出,Botnet - 7777 被巧妙地用于执行密码喷洒式攻击,这是一种从许多不同 IP 地址发送大量登录尝试的攻击形式。由于每台单独的设备会限制登录尝试次数,这种精心协调的账号劫持活动很难被目标服务检测到。
周四,微软报告称,CovertNetwork - 1658(微软用来追踪该僵尸网络的名称)正被多个威胁行为体利用,试图入侵目标 Azure 账号。该公司表示,这些攻击 “高度隐蔽”,因为这个如今平均规模约为 8000 台设备的僵尸网络煞费苦心地隐藏其恶意活动。
微软官方人员写道:“任何使用 CovertNetwork - 1658 基础设施的威胁行为体都能更大规模地开展密码喷洒式攻击活动,并在短时间内大幅增加成功窃取凭证并初次入侵多个组织的可能性。这种规模,再加上 CovertNetwork - 1658 和威胁行为体之间被入侵凭证的快速周转运作,使得跨多个行业和地理区域的账号被入侵存在潜在可能。”
导致检测困难的一些特征如下:
使用被入侵的小型办公及家庭办公(SOHO)IP 地址。在任何给定时间使用一组轮换的 IP 地址。威胁行为体手头有数千个可用的 IP 地址。CovertNetwork - 16578 节点的平均正常运行时间约为 90 天。低频次的密码喷洒过程;例如,监测来自一个 IP 地址或针对一个账号的多次登录失败尝试将无法检测到这种活动。CovertNetwork - 1658 的活动在最近几个月有所减少,但微软评估认为,这并非是因为威胁行为体缩减了其操作。相反,该僵尸网络正在 “获取新的基础设施,其指纹与已公开披露的有所不同”。
微软点名使用该僵尸网络的其中一个威胁组织被追踪为 Storm - 0940。该组织经常以北美和欧洲的智库、政府机构、非政府组织、律师事务所、国防工业基地等为目标。一旦目标 Azure 账号被入侵,威胁行为体就会尝试横向移动到受感染网络的其他部分。威胁行为体还会尝试窃取数据并安装远程访问木马。
微软写道:
微软已经观察到许多案例,其中 Storm - 0940 通过 CovertNetwork - 1658 的密码喷洒式操作获取的有效凭证,获得了对目标组织的初次访问权限。在某些情况下,观察到 Storm - 0940 使用当天从 CovertNetwork - 1658 基础设施获取的被入侵凭证。这种被入侵凭证的快速交接运作证明了 CovertNetwork - 1658 的运营者和 Storm - 0940 之间很可能存在密切的工作关系。
目前尚不清楚这些被入侵的僵尸网络设备最初是如何被感染的。不管原因是什么,一旦设备被利用,威胁行为体通常会采取以下行动:
从远程文件传输协议(FTP)服务器下载 Telnet 二进制文件从远程 FTP 服务器下载 xlogin 后门二进制文件
利用下载的 Telnet 和 xlogin 二进制文件在 TCP 端口 7777 上启动一个受访问控制的命令行外壳
连接并认证到在 TCP 端口 7777 上监听的 xlogin 后门
将一个 SOCKS5 服务器二进制文件下载到路由器
在 TCP 端口 11288 上启动 SOCKS5 服务器
微软并未就 TP - Link 路由器和其他受影响设备的用户如何预防或检测感染给出建议。过去许多专家都指出,大多数此类受感染设备在重启后无法正常运行,因为恶意软件无法写入它们的存储设备。这意味着定期重启可以对设备进行杀毒,尽管之后可能无法阻止再次感染。
关注【黑客联盟】带你走进神秘的黑客世界
还是因为tp的廉价垃圾路由器过于普及了。。
微软不就是最大的黑客组织吗?[得瑟]