微軟揭露了一個名為 CovertNetwork-1658 的複雜殭屍網路,它由許多遭劫持的裝置所組成,自 2023 年 8 月起一直到現在,中國駭客用它來對 Microsoft Azure 客戶發動高度規避性的密碼噴灑攻擊(password spray attack),進而竊取這些客戶的憑證。
這些攻擊利用了一個由數千個 SOHO 級路由器、攝影機及其他連網裝置組成的殭屍網路。在高峰期,這個別名 xlogin 和 Quad7(7777)的 CovertNetwork-1658 殭屍網路擁有超過 16,000 台裝置,其中大部分為 TP-Link 路由器。
駭客利用路由器中的漏洞來獲得遠端程式碼執行能力,儘管具體的攻擊手法仍在調查中。但可以確定的是,一旦獲取存取權限,威脅行動者會透過多個步驟來為路由器做好進行密碼噴灑攻擊作業的準備。這些步驟包括從遠端檔案傳輸協定(FTP)伺服器下載 Telnet 和 xlogin 後門二進制檔,在 TCP 7777 埠上啟動存取控制的 shell 命令,並在 TCP 11288 埠上設置 SOCKS5 伺服器。
CovertNetwork-1658 的高度規避性使其特別危險。比如說,駭客會透過代理網路來發動密碼噴灑攻擊,以確保任何攻擊皆由受劫持裝置發起。在大約 80% 的攻擊事件中,CovertNetwork-1658 只會每日對每個帳戶進行一次登入嘗試,這使得傳統的安全措施難以偵測。
微軟觀察到,在任何特定的時間點,平均約有 8,000 台受劫持裝置活躍於 CovertNetwork-1658 網路,其中大約 20% 的裝置進行密碼噴灑攻擊作業。再者,CovertNetwork-1658 似乎與中國駭客 Storm-0940 之間的關係似乎十分密切,微軟曾觀察到 Storm-0940 在同一天內使用從 CovertNetwork-1658 獲得的受劫持憑證。
一旦 Storm-0940 獲取受害者環境的存取權限後,接著會採取各種非法活動來擴大攻擊範圍,包括使用掃描和憑證轉儲工具在網路中進行橫向移動;嘗試存取網路裝置並將代理工具和遠端存取木馬(RATs)植入受害系統中;嘗試竊取資料。
目前微軟已對受害客戶發出通知,但該公司仍未提供 TP-Link 路由器和其他受害裝置用戶如何預防或檢測感染的具體建議。對此,專家建議,定期重新啟動被駭裝置有助於暫時清除感染及劫持。
(首圖來源:pixabay)