Microsoft uzmanları, Quad7 adlı büyük bir Çinli botnet’in (siber saldırı ağı), batıdaki organizasyonlara karşı parola denemeleri saldırıları düzenlemek için kullandığını söylüyor.
Microsoft’tan siber saldırı uyarısı
Şirketin yeni raporunda, bu grubun Storm-0940 olarak adlandırıldığını ve çalınan şifreleri kullanarak hesaplarda hakimiyet kurmaya, daha fazla kimlik bilgisi çalma ve siber saldırı girişiminde bulunmaya başladığı ifade ediliyor.
Microsoft, bu saldırının nihai hedefinin büyük olasılıkla casusluk olduğuna inanıyor. Hedefler arasında düşünce kuruluşları, devlet kuruluşları, sivil toplum kuruluşları, hukuk firmaları, savunma sanayi üsleri ve daha fazlası yer alıyor.
Raporda, “Özellikle Microsoft, Çinli tehdit aktörü Storm-0940’ın CovertNetwork-1658’den elde ettiği kimlik bilgilerini kullandığını gözlemledi” ifadesine yer veriliyor ve grubun tespit edilmemek için ekstra dikkatli hareket ettiği belirtiliyor.
Hesaplara nasıl erişiyor?
Bu saldırılarda, CovertNetwork-1658, hedef bir kuruluştaki birçok hesaba yalnızca çok az sayıda oturum açma girişimi gönderiyor. Vakaların yaklaşık yüzde 80’inde, ‘’CovertNetwork-1658, hesap başına yalnızca bir oturum açma girişiminde bulunuyor’’ ibaresi yer alıyor. Ancak, bir başarı sağlandığında Storm-0940 hemen harekete geçiyor. Microsoft, bazı durumlarda, şifrelerin tahmin edilmesinin ardından sızmanın aynı gün yapıldığını vurguluyor. Storm-0940’ın ilk hamlesi, kimlik bilgilerini boşaltmak ve kalıcılık sağlamak için RAT’lar (uzak erişim araçları) ile proxy’ler yüklenerek hesaplarda kalıcılık sağlanıyor.
Bu konuda en ünlü olan Q7 olarak bilinen botneti, Eylül 2024’ün sonlarında yeni özellikler ekleyerek saldırı yüzeyini genişlettiği bildirildi. İlk olarak yalnızca TP-Link yönlendiricilerini hedef aldığı gözlemlenen bu botnet, daha sonra ASUS yönlendiricilerine, Zyxel VPN uç noktalarına, Ruckus kablosuz yönlendiricilerine ve Axentra medya sunucularına da yayılmaya başladı.
