微软披露了一个名为CovertNetwork-1658的复杂僵尸网络,它由许多遭劫持的设备所组成,自2023年8月起一直到现在,中国黑客用它来对Microsoft Azure客户发动高度规避性的密码喷洒攻击(password spray attack),进而窃取这些客户的凭证。
这些攻击利用了一个由数千个SOHO级路由器、摄影机及其他联网设备组成的僵尸网络。在高峰期,这个别名xlogin和Quad7(7777)的CovertNetwork-1658僵尸网络拥有超过16,000台设备,其中大部分为TP-Link路由器。
黑客利用路由器中的漏洞来获得远程程序代码执行能力,尽管具体的攻击手法仍在调查中。但可以确定的是,一旦获取访问权限,威胁行动者会通过多个步骤来为路由器做好进行密码喷洒攻击作业的准备。这些步骤包括从远程文件传输协议(FTP)服务器下载Telnet和xlogin后门二进制文件,在TCP 7777端口上启动访问控制的shell命令,并在TCP 11288端口上设置SOCKS5服务器。
CovertNetwork-1658的高度规避性使其特别危险。比如说,黑客会通过代理网络来发动密码喷洒攻击,以确保任何攻击皆由受劫持设备发起。在大约80%的攻击事件中,CovertNetwork-1658只会每日对每个账户进行一次登录尝试,这使得传统的安全措施难以侦测。
微软观察到,在任何特定的时间点,平均约有8,000台受劫持设备活跃于CovertNetwork-1658网络,其中大约20%的设备进行密码喷洒攻击作业。再者,CovertNetwork-1658似乎与中国黑客Storm-0940之间的关系似乎十分密切,微软曾观察到Storm-0940在同一天内使用从CovertNetwork-1658获得的受劫持凭证。
一旦Storm-0940获取受害者环境的访问权限后,接着会采取各种非法活动来扩大攻击范围,包括使用扫描和凭证转储工具在网络中进行横向移动;尝试访问网络设备并将代理工具和远程访问木马(RATs)植入受害系统中;尝试窃取数据。
目前微软已对受害客户发出通知,但该公司仍未提供TP-Link路由器和其他受害设备用户如何预防或检测感染的具体建议。对此,专家建议,定期重新启动被黑设备有助于暂时清除感染及劫持。
(首图来源:pixabay)
