Microsoft сообщила, что китайская хакерская группа Storm-0940, используя ботнет Quad7 (также известный как CovertNetwork-1658), проводит сложные атаки методом подбора паролей с целью кражи учетных данных клиентов компании. Storm-0940, активная с 2021 года, получает доступ, эксплуатируя уязвимости в сетевых приложениях и сервисах, и нацелена на организации в Северной Америке и Европе, включая правительственные учреждения, НПО и оборонные компании.
Quad7, также известный как 7777 или xlogin, атакует маршрутизаторы и VPN-устройства таких брендов, как TP-Link, Zyxel и D-Link, используя уязвимости для удаленного выполнения кода. Ботнет заражает устройства, устанавливая бэкдор, который прослушивает порт TCP 7777 для удаленного доступа. В сентябре 2024 года Sekoia сообщила, что Quad7 активно используется для атак на учетные записи Microsoft 365, предположительно при поддержке китайского государства.
Microsoft также подтвердила, что владельцы ботнета находятся в Китае, а сам ботнет используется для атак с целью дальнейшего проникновения в сети, включая горизонтальное перемещение, установку троянов и кражу данных. Storm-0940 оперативно использует полученные учетные данные, что указывает на слаженность действий между операторами ботнета и группой.
