中国政府支持的黑客利用僵尸网络进行密码喷洒攻击

微软于周四警告称，代表中国政府工作的黑客正在利用由数千台路由器、摄像头和其他联网设备组成的僵尸网络，对微软Azure云服务的用户进行高度隐蔽的密码喷洒攻击。

僵尸网络的构成与命名

这个恶意网络几乎完全由TP-Link路由器组成，最早于2023年10月由一名研究人员记录，并命名为Botnet-7777。该网络由超过16,000台受感染的设备组成，这些设备地理分布广泛，因其恶意软件暴露在端口7777上而得名。

大规模账户入侵

今年7月和8月，安全研究人员Sekoia.io和Team Cymru报告称，该僵尸网络仍在运行。所有三份报告均指出，Botnet-7777被用于巧妙地执行密码喷洒攻击，这种攻击形式通过从多个不同的IP地址发送大量登录尝试。由于每台设备限制了登录尝试次数，这种精心协调的账户接管活动很难被目标服务检测到。

微软的发现

微软于周四报告称，其跟踪该僵尸网络的代号为CovertNetwork-1658，并被多个中国威胁行为者用于试图入侵目标Azure账户。微软表示，这些攻击“高度隐蔽”，因为该僵尸网络（现在估计平均有约8,000台设备）竭力隐藏其恶意活动。

微软官员写道：“任何使用CovertNetwork-1658基础设施的威胁行为者都可以在更大范围内进行密码喷洒攻击，并大大增加在短时间内成功获取凭证并初步访问多个组织的可能性。这种规模，加上CovertNetwork-1658与中国威胁行为者之间快速的凭证操作周转，可能导致跨多个行业和地理区域的账户入侵。”

难以检测的特征

• 使用受感染的SOHO IP地址。
• 在任何给定时间使用一组轮换的IP地址。威胁行为者拥有数千个可用的IP地址。CovertNetwork-1658节点的平均正常运行时间约为90天。
• 低容量的密码喷洒过程；例如，监控来自一个IP地址或一个账户的多次失败登录尝试将无法检测到此活动。

僵尸网络活动的变化

CovertNetwork-1658的活动在最近几个月有所下降，但微软评估认为，这并不是因为威胁行为者减少了其操作，而是因为僵尸网络正在“获取具有修改指纹的新基础设施，与已公开披露的内容不同。”

威胁行为者Storm-0940

微软命名的其中一个使用该僵尸网络的威胁组织代号为Storm-0940。该组织经常针对北美和欧洲的智库、政府组织、非政府组织、律师事务所、国防工业基地等。一旦目标Azure账户被入侵，威胁行为者试图横向移动到受感染网络的其他部分，并试图窃取数据和安装远程访问木马。

微软写道：“微软观察到许多案例，其中Storm-0940通过使用从CovertNetwork-1658的密码喷洒操作中获取的有效凭证，初步访问目标组织。在某些情况下，Storm-0940被观察到使用在同一天从CovertNetwork-1658基础设施中获取的受感染凭证。这种快速的凭证操作周转表明CovertNetwork-1658的操作者与Storm-0940之间可能存在密切的工作关系。”

设备感染的步骤

目前尚不清楚受感染的僵尸网络设备最初是如何被感染的。但一旦设备被利用，威胁行为者通常会采取以下步骤：

1. 从远程FTP服务器下载Telnet二进制文件
2. 从远程FTP服务器下载xlogin后门二进制文件
3. 使用下载的Telnet和xlogin二进制文件在TCP端口7777上启动访问控制的命令shell
4. 连接并验证在TCP端口7777上监听的xlogin后门
5. 下载SOCKS5服务器二进制文件到路由器
6. 在TCP端口11288上启动SOCKS5服务器

预防与检测建议

微软没有建议TP-Link路由器和其他受影响设备的用户如何预防或检测感染。许多专家过去曾指出，大多数受感染的设备在重启后无法存活，因为恶意软件无法写入其存储。这意味着定期重启可以消毒设备，尽管无法阻止以后再次感染。