China-Botnet attackiert durch Router-Lücken weltweit! : Neue Botnetz-Attacke bedroht Microsoft-Konten
Microsoft hat gefährliche Aktivitäten des chinesischen Bedrohungsakteurs Storm-0940 entdeckt. Über ein ausgeklügeltes Botnetz namens Quad7 führt er besonders schwer zu entdeckende Passwort-Spray-Angriffe durch. Dieses Botnetz, das Microsoft als CovertNetwork-1658 bezeichnet, zielt klar darauf ab, sich Zugriff auf die Anmeldedaten von Microsoft-Kunden zu verschaffen.
Storm-0940 ist seit mindestens 2021 aktiv und gelangt durch Passwort-Spray- und Brute-Force-Angriffe in Netzwerke. Zusätzlich nutzt die Gruppe Schwachstellen in Anwendungen und Diensten am Rand von Netzwerken aus, um sich Zugang zu verschaffen, wie das Microsoft Threat Intelligence Team berichtet.
Ein Passwort-Spray-Angriff ist eine Technik, bei der Angreifer eine kleine Anzahl häufiger oder einfacher Passwörter (zum Beispiel „123456“ oder „Passwort“) verwenden und versuchen, sich damit bei einer großen Anzahl von Benutzerkonten anzumelden. Im Gegensatz zu herkömmlichen Brute-Force-Angriffen, bei denen ein Konto mit vielen Passwortversuchen bombardiert wird, testen Passwort-Spray-Angriffe dasselbe Passwort über viele Konten hinweg und vermeiden dadurch eine schnelle Entdeckung.
Dieser Ansatz hilft den Angreifern, Sperren durch zu viele Anmeldeversuche bei einzelnen Konten zu vermeiden und so die Wahrscheinlichkeit zu erhöhen, dass sie unentdeckt bleiben. Wenn ein Konto mit einem schwachen oder gängigen Passwort versehen ist, kann der Angreifer mit dieser Methode darauf zugreifen. Passwort-Spray-Angriffe sind daher besonders bei großen Organisationen eine beliebte Methode, da diese oft über viele Benutzerkonten verfügen, was die Erfolgschancen erhöht.
Storm-0940 hat es vor allem auf Organisationen in Nordamerika und Europa abgesehen. Dazu zählen Think Tanks, Regierungsorganisationen, NGOs, Anwaltskanzleien, die Verteidigungsindustrie und weitere.
Zahlreiche populäre Router betroffen
Das Botnet Quad7, auch bekannt als 7777 oder xlogin, wurde in den letzten Monaten von den Sicherheitsfirmen Sekoia und Team Cymru intensiv untersucht. Die Botnet-Malware wurde auf verschiedenen SOHO-Routern und VPN-Geräten entdeckt, darunter Modelle von TP-Link, Zyxel, Asus, Axentra, D-Link und NETGEAR.
Die Angreifer infizieren diese Geräte, indem sie bekannte und noch unbekannte Sicherheitslücken ausnutzen, um aus der Ferne schädlichen Code auszuführen. Der Name „Quad7“ kommt daher, dass die infizierten Router über eine Hintertür verfügen, die am TCP-Port 7777 auf Fernzugriffe wartet.
Laut Sekoia wird das Botnet hauptsächlich eingesetzt, um Brute-Force-Angriffe auf Microsoft 365-Konten durchzuführen. Die Sicherheitsfirma erklärte im September 2024, dass die Betreiber vermutlich von der chinesischen Regierung unterstützt werden.
Microsoft geht davon aus, dass die Betreiber des Botnets in China sitzen und dass mehrere Bedrohungsakteure aus diesem Land das Botnet nutzen, um Passwort-Spray-Angriffe durchzuführen. Diese Angriffe dienen als Ausgangspunkt für weitere Aktionen im Netzwerk, wie das Bewegen innerhalb des Netzwerks, das Einschleusen von Fernzugriffs-Trojanern und das Abziehen sensibler Daten.
Storm-0940 fährt extrem schnell Folgeangriffe
Zu den Nutzern gehört auch Storm-0940. Der Akteur verwendet erbeutete Zugangsdaten aus den Passwort-Spray-Angriffen, um in Zielunternehmen einzudringen – teilweise schon am selben Tag, an dem die Daten erlangt wurden. Diese schnelle Übergabe der Zugangsdaten deutet auf eine enge Zusammenarbeit zwischen den Betreibern des Botnets und Storm-0940 hin.
Microsoft erklärt, dass CovertNetwork-1658 – das Botnet hinter diesen Angriffen – eine sehr geringe Anzahl an Login-Versuchen pro Konto in einer Zielorganisation durchführt. In etwa 80 Prozent der Fälle wird pro Konto nur ein einziger Anmeldeversuch am Tag unternommen. Schätzungen zufolge sind bis zu 8.000 kompromittierte Geräte gleichzeitig im Netzwerk aktiv, wobei jedoch nur etwa 20 Prozent dieser Geräte tatsächlich an den Passwort-Spray-Angriffen beteiligt sind.
Der Windows-Hersteller weist darauf hin, dass die Aktivität des Botnets nach der Veröffentlichung der Angriffe „stetig und deutlich“ zurückgegangen ist. Das sei aber nicht unbedingt ein gutes Zeichen sondern deutet darauf hin, dass die Angreifer vermutlich bald eine neue Infrastruktur mit leicht veränderten Merkmalen aufbauen könnten, um der Entdeckung zu entgehen.
Microsoft betont, dass jeder Bedrohungsakteur, der die Infrastruktur von CovertNetwork-1658 nutzt, groß angelegte Passwort-Spraying-Angriffe durchführen könnte. Das erhöht die Chancen, Anmeldedaten erfolgreich zu stehlen und sich schnellen Zugang zu verschiedenen Organisationen zu verschaffen.
Durch die massive Reichweite des Netzwerks und die schnelle Weitergabe kompromittierter Zugangsdaten zwischen CovertNetwork-1658 und chinesischen Angreifern können Konten in verschiedenen Branchen und Regionen kompromittiert werden.
Die Entdeckung dieser Kampagne unterstreicht die wachsende Bedrohung durch Akteure, die immer raffiniertere Techniken entwickeln, um sensible Daten zu erbeuten und Sicherheitsbarrieren zu überwinden. Microsofts Untersuchung verdeutlicht die Risiken, die selbst für große Unternehmen bestehen, wenn Passwort-Sicherheitslücken ausgenutzt werden.