spot_img
19.8 C
São Paulo
spot_img
HomeSecurityStorm-0940: Botnet Chinesa CovertNetwork-1658 Ameaça Segurança

Storm-0940: Botnet Chinesa CovertNetwork-1658 Ameaça Segurança

Botnet CovertNetwork-1658
Storm-0940 e a botnet CovertNetwork-1658 em ações de segurança cibernética
Alegon
By Alegon

A Microsoft revelou que o Storm-0940, um ator de ameaças chinês, utiliza a botnet CovertNetwork-1658 para realizar ataques de spray de senhas evasivos.

Esses ataques são empregados para roubar credenciais de diversos clientes da Microsoft, segundo a gigante da tecnologia.

Ativo desde 2021, o Storm-0940 obtém acesso inicial por meio de ataques de spray de senhas ou explorando aplicações e serviços de rede.

O Storm-0940 direciona organizações na América do Norte e Europa, incluindo governos e indústrias de defesa.

Quad7, também conhecido como 7777, é uma botnet que tem atacado marcas de roteadores SOHO e aparelhos VPN, usando falhas de segurança para obter controle remoto.

Os dispositivos da botnet se comunicam por meio do TCP 7777 para facilitar o acesso remoto. A botnet é usada principalmente para tentativas de força bruta em contas do Microsoft 365.

A Microsoft avaliou que os mantenedores da botnet estão na China e realizam ataques de spray de senhas para exploração de redes, incluindo movimentação lateral e exfiltração de dados.

O Storm-0940 infiltrou organizações utilizando credenciais obtidas em ataques de spray de senhas rapidamente.

A Microsoft destacou que o CovertNetwork-1658 realiza tentativas de login sutis, com cerca de 80% dos casos envolvendo apenas uma tentativa por conta por dia.

Estima-se que até 8.000 dispositivos compromissados estão ativos, com apenas uma fração envolvida em spray de senhas.

A infraestrutura da botnet tem apresentado um declínio após divulgações públicas, indicando que os atores podem estar adquirindo nova infraestrutura para evitar detecções.

Qualquer ator que utilize o CovertNetwork-1658 poderia realizar ataques em larga escala, aumentando o risco de compromissos de credenciais.

A Sekoia notou que, embora tenha havido uma queda na atividade da botnet, existem indícios de que atores de ameaças encontraram novas formas de infectar dispositivos.

A matéria foi atualizada para incluir a resposta da Sekoia.

Botnet Chinesa

Vulnerabilidades de Segurança da Botnet Storm-0940

O Storm-0940, também reconhecido como CovertNetwork-1658, utiliza uma botnet sofisticada chamada Quad7 para explorar vulnerabilidades em roteadores SOHO. Esses ataques, focados em pulverização de senhas, representam uma séria ameaça à segurança cibernética de redes domésticas e corporativas. Aqui estão as principais vulnerabilidades e estratégias de mitigação:

Dispositivos Alvo

A botnet Quad7 é capaz de comprometer uma variedade de dispositivos, incluindo modelos de roteadores SOHO de fabricantes como TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR, além de dispositivos VPN e servidores de mídia.

Portas e Protocolos Vulneráveis

  • TP-Link: Porta TCP 7777
  • Asus: Portas TCP 63256 e 63260
  • Ruckus: Porta TCP 63210
  • Zyxel: Porta TCP 3256

Backdoors e Shells Reversas

Os operadores da Quad7 utilizam backdoors personalizados, como o UPDTAE, estabelecendo shells reversas HTTP que permitem controle remoto sem interfaces de login visíveis. Essa técnica aumenta o risco e a dificuldade em detectar ataques.

Comunicação e Evasão

A CovertNetwork-1658 aprimorou sua comunicação, adotando o protocolo KCP para relay de ataques via UDP, dificultando a detecção e o rastreio. Além disso, está explorando o protocolo CJD route2 para comunicações ainda mais ocultas.

Mitigação das Vulnerabilidades

Atualização de Firmware

Manter o firmware dos dispositivos sempre atualizado é fundamental, pois muitas das brechas exploradas pela botnet são corrigidas em atualizações de segurança.

Senhas Fortes

Alterar as senhas padrão para credenciais robustas e únicas pode reduzir a exposição a ataques de força bruta e pulverização de senhas.

Desativação de Portais de Administração

Desabilitar os portais de administração web desnecessários pode ajudar a prevenir acessos não autorizados aos dispositivos vulneráveis.

Monitoramento Contínuo

A realização de monitoramento contínuo na infraestrutura de rede é essencial para detectar rapidamente atividades suspeitas e responder a elas.

Substituição de Dispositivos Antigos

Dispositivos que não recebem mais atualizações de segurança devem ser substituídos por modelos mais recentes, que sejam seguros e suportados por atualizações.

Essas medidas são cruciais para proteger credenciais e dados contra os perigos associados à botnet Storm-0940 e sua operação com a CovertNetwork-1658.

Melhores Práticas de Segurança contra a Botnet Quad7

Proteger dispositivos de rede contra a botnet Quad7 e vulnerabilidades em roteadores SOHO requer práticas rigorosas. Aqui estão algumas estratégias essenciais:

Medidas de Segurança do Dispositivo

  • Alterar Senhas Padrão: As senhas de fábrica são vulneráveis. Modifique para credenciais únicas e fortes.
  • Atualizações de Firmware: Manter o firmware atualizado é crucial. Patches de segurança ajudam a evitar a botnet Quad7.
  • Procedimentos de Boot Seguros: Assegure que os dispositivos tenham métodos seguros de inicialização para prevenir execução de código malicioso.

Medidas de Segurança de Rede

  • Firewalls e IPS: Utilize firewalls e sistemas de prevenção contra invasões para detectar e bloquear acessos não autorizados.
  • VPN e Criptografia: Implemente VPNs e protocolos seguros como TLS/SSL para proteger os dados durante a transmissão.
  • Segurança contra DDoS: Adote medidas para mitigar ataques DDoS, que são frequentemente realizados por botnets.

Gerenciamento e Monitoramento

  • Rastreie e Gerencie os Dispositivos: Use soluções que identifiquem todos os dispositivos conectados e monitorar suas comunicações.
  • Informar-se sobre Correções e Atualizações: Mantenha-se atento a novas vulnerabilidades e atualizações de segurança necessárias.

Arquitetura de Segurança Zero Trust

  • Elimine Políticas de Confiança Implícitas: Controle rigorosamente o acesso para evitar danos significativos à rede por dispositivos comprometidos.

Outras Medidas

  • Treinamento de Segurança: Promova treinamentos sobre o uso seguro de dispositivos IoT e roteadores SOHO para os funcionários.
  • Armazenamento Seguro de Dados: Garanta que os dados armazenados na nuvem sejam protegidos com controles de acesso e criptografia robustos.

Adotar essas práticas permitirá que as organizações reduzam significativamente o risco de exploração de vulnerabilidades em roteadores SOHO e protejam seus dispositivos de rede contra ameaças como a botnet Quad7.

#Storm0940 #CovertNetwork1658 #SegurancaCibernetica #Botnet #AtaquesDeSenha #Microsoft

Previous article
Recall Microsoft: Lançamento do Windows Copilot+ é adiado novamente
Next article
Configurações Inadequadas em SaaS: 5 Erros Comuns e Como Evitar

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us