Quad7 (four sevens)

マイクロソフトは、中国の脅威行為者が、ハッキングされたSOHOルーターで構成されるQuad7ボットネットを使用して、パスワード・スプレー攻撃で認証情報を盗むと警告している。

CovertNetwork-1658またはxloginとしても知られるQuad7は、セキュリティ研究者Gi7w0rmによって最初に発見されたボットネットで、侵害されたSOHOルーターで構成されています。

後にSekoiaと Team Cymruが報告したところによると、脅威の主体はTP-Link、ASUS、Ruckusワイヤレス・デバイス、Axentra NASデバイス、Zyxel VPNアプライアンスのルーターやネットワーク・デバイスを標的にしている。

これらのデバイスが侵害されると、脅威者はTelnet経由でデバイスへのリモートアクセスを可能にするカスタムマルウェアを展開し、侵害されたデバイスに基づいた固有のウェルカムバナーを表示します:

  • xlogin – TP-LinkルーターのTCPポート7777にバインドされたTelnet
  • alogin – ASUSルーターのTCPポート63256にバインドされたTelnet
  • rlogin – Ruckus ワイヤレスデバイスの TCP ポート 63210 にバインドされた Telnet
  • axlogin– Axentra NAS デバイスの Telnet バナー (ポート不明、野生では見られないため)
  • zylogin– Zyxel VPNアプライアンス上のTCPポート3256にバインドされたTelnet

このサーバーは、悪意のある攻撃をプロキシ(中継)するために使用される一方、正規のトラフィックに紛れ込んで検出を回避します。

Quad7 botnet devices and what they are used for
Quad7ボットネットデバイスとその使用目的
出典:Sekoia:セコイア

このボットネットは特定の脅威行為者に起因するものではありませんでしたが、Team Cymruはこれらのルーターで使用されているプロキシソフトウェアを追跡し、中国の杭州に住むユーザーを特定しました。

Quad7ボットネットがパスワード・スプレー攻撃に使用される

マイクロソフトは本日、Quad7ボットネットは中国から運営されていると考えられ、複数の中国の脅威行為者が侵害されたルーターを利用して、パスワードスプレー攻撃によって認証情報を盗んでいることを明らかにしました。

「Microsoftは、CovertNetwork-1658のパスワードスプレー操作から取得した認証情報が、複数の中国の脅威行為者によって使用されていると評価しています。

「特に、マイクロソフトは中国の脅威行為者Storm-0940がCovertNetwork-1658の認証情報を使用していることを確認しています。

パスワードスプレー攻撃を行う際、マイクロソフトによると、脅威行為者は積極的ではなく、アラームのトリガーを回避するために、アカウントごとに数回ログインを試みるだけだという。

「これらのキャンペーンでは、CovertNetwork-1658は、ターゲット組織の多くのアカウントに対して、非常に少数のサインインを試みます。

「約80パーセントのケースで、CovertNetwork-1658は1日に1アカウントにつき1回しかサインインを試みません。

CovertNetwork-1658 count of sign-in attempts per account per day.
CovertNetwork-1658は、1日あたり1アカウントにつき1回のサインインを試みます。
:マイクロソフト

しかし、いったん認証情報が盗まれると、マイクロソフトは、Storm-0940がその認証情報を使用して標的のネットワークに侵入することを確認しています。

ネットワークが侵入されると、脅威者は認証情報を破棄し、RATやプロキシツールをインストールしてネットワーク上で永続化することで、さらにネットワークを広げていきます。

攻撃の最終的な目的は、標的となったネットワークからデータを流出させることであり、おそらくサイバースパイ目的であろう。

今日に至るまで、研究者はQuad7の脅威者がSOHOルーターやその他のネットワーク・デバイスをどのように侵害しているのか、正確には突き止めていない。

しかし、セコイアは、ハニーポットの1つがOpenWRTのゼロデイを利用してQuad7の脅威行為者に侵入されるのを観測した。

「現時点では公開されていないと思われる(Google検索によると)認証されていないファイル公開とコマンド・インジェクションを連鎖させた注目すべき攻撃を観測するまで、1週間もかかりませんでした」と、Sekoiaは7月に説明している。

脅威行為者がどのようにして他のデバイスに侵入しているのかは謎のままだ。