Il y a quelques jours, Microsoft pointait du doigt une grave cybermenace impliquant un botnet chinois appelé Quad7. Quad7 ciblerait des organisations du monde entier avec des attaques sophistiquées par pulvérisation de mots de passe.
Le botnet est exploité par le groupe Storm-0940 et son objectif principal est de pénétrer dans les réseaux et de voler les identifiants de connexion. Cela ouvre la voie à de nouvelles cyberactivités potentiellement perturbatrices. Selon Microsoft, l’objectif principal de cette campagne semble être l’espionnage. Les cibles incluent des institutions de haut niveau telles que des groupes de réflexion, des agences gouvernementales, des ONG, des cabinets d’avocats ainsi que l’industrie de la défense.
Un commentaire de Mark Edison Cabel, chercheur en logiciels malveillants chez VIPRE.
Le botnet Quad7 exploite les vulnérabilités des routeurs
Le botnet Quad7 est une menace sophistiquée. Il cible les entreprises et les organisations disposant de routeurs mal protégés ou mal configurés et d’appareils IoT vulnérables. Quad7 exploite les vulnérabilités des systèmes non corrigés pour prendre le contrôle d’un vaste réseau d’appareils compromis. Le nom « Quad7 » vient du fait que les attaques ciblent systématiquement le port 7777. Ce botnet est connu pour compromettre les routeurs vulnérables. Ils sont utilisés pour mener des attaques par pulvérisation de mots de passe spécifiquement sur les comptes Microsoft 365. Le proxy Socks5 est au centre des opérations de Quad7. Cela permet au botnet de transmettre un trafic de données manipulé de manière malveillante via des routeurs TP-Link compromis, dissimulant ainsi efficacement la source réelle de ses attaques.
L’analyse montre que l’objectif principal de Quad7 semble être l’extraction de données, ciblant souvent des marques telles que TP-Link, Zyxel, RUCKUS et ASUS. Pratiquement chacune de ces marques possède de nombreux modèles vulnérables, et le botnet est capable d’exploiter diverses vulnérabilités spécifiques aux appareils. Cette plage opérationnelle indique un acteur menaçant bien équipé en ressources et qui adapte ses techniques pour attaquer avec succès une grande variété d’appareils et de modèles.
Même si Quad7 cible principalement les routeurs grand public, il a également des implications intersectorielles pour les grandes entreprises. Ces secteurs qui se sont avérés touchés comprennent les télécommunications, la technologie, les services publics, le gouvernement, l’éducation et les médias. Le botnet a évidemment le potentiel de menacer à la fois les utilisateurs privés et les réseaux d’entreprise et institutionnels.
Mesures de sécurité
Pour vous protéger contre Quad7, vous devez mettre en œuvre un certain nombre de mesures. Ceux-ci incluent :
- Segmentation du réseau
- Utilisez les flux de renseignements sur les menaces pour bloquer les adresses IP et les domaines malveillants
- Surveiller l’activité du réseau pour détecter toute activité inhabituelle
- Les appareils infectés doivent être isolés et redémarrés pour supprimer complètement les logiciels malveillants persistants.
Cependant, de nombreuses tentatives d’infection peuvent être évitées à l’avance grâce à une gestion robuste des appareils utilisant des mises à jour du micrologiciel, l’utilisation de mots de passe forts et une surveillance complète du réseau. Les « indicateurs de compromission » (IoC) issus des rapports de renseignement sur les menaces aident à identifier les domaines spécifiques de Quad7 C2, les hachages de fichiers et les adresses IP associés à ses activités.
Quel est le but de Quad7 ?
Selon un Message L’attaque a eu lieu en juin (selon Microsoft, elle aurait commencé en octobre), quelques mois avant les élections américaines. Théoriquement, il est même possible que Quad7 soit intervenu lors des élections américaines lors de la transmission de données.
Pour ce faire, il faudrait qu’il soit possible de prendre le contrôle des appareils réseau concernés. Ce ne serait probablement pas une mauvaise idée si le gouvernement américain vérifiait tous les appareils réseau utilisés lors des élections américaines s’ils s’avéraient à risque.
Outre cette hypothèse, nous sommes d’accord avec Microsoft sur le fait que l’objectif principal est avant tout d’espionner les informations. Ceci est notamment confirmé par le fait qu’il y a déjà eu des attaques documentées contre le secteur énergétique américain et des entreprises françaises.
De plus amples informations peuvent être trouvées ici.
(VP/VIPRE)
#nouveau #botnet #chinois #Quad7 #attaque #monde #entier