数千台遭黑客攻击的 TP-Link 路由器被用于长达数年的账号劫持攻击_摄像头

文章图片

文章图片

微软公司周四发出警告，称有黑客利用一个由数千台路由器、摄像头及其他联网设备组成的僵尸网络，对微软 Azure 云服务的用户发起高度隐蔽的密码喷洒式攻击。
这个恶意网络几乎完全由 TP-Link 路由器构成， 2023 年 10 月首次被一位研究人员记录在案，该研究人员将其命名为 Botnet - 7777 。这个在巅峰时期由超过 16000 台被入侵设备组成、分布在各地的集合之所以叫这个名字，是因为它在 7777 端口暴露其恶意软件。
大规模的账号劫持
今年 7 月和 8 月，来自 Sekoia.io 和 Team Cymru 的安全研究人员报告称，该僵尸网络仍在运行。这三份报告均指出， Botnet - 7777 被巧妙地用于执行密码喷洒式攻击，这是一种从许多不同 IP 地址发送大量登录尝试的攻击形式。由于每台单独的设备会限制登录尝试次数，这种精心协调的账号劫持活动很难被目标服务检测到。
周四，微软报告称， CovertNetwork - 1658（微软用来追踪该僵尸网络的名称）正被多个威胁行为体利用，试图入侵目标 Azure 账号。该公司表示，这些攻击 “高度隐蔽” ，因为这个如今平均规模约为 8000 台设备的僵尸网络煞费苦心地隐藏其恶意活动。
微软官方人员写道：“任何使用 CovertNetwork - 1658 基础设施的威胁行为体都能更大规模地开展密码喷洒式攻击活动，并在短时间内大幅增加成功窃取凭证并初次入侵多个组织的可能性。这种规模，再加上 CovertNetwork - 1658 和威胁行为体之间被入侵凭证的快速周转运作，使得跨多个行业和地理区域的账号被入侵存在潜在可能。 ”
导致检测困难的一些特征如下：

使用被入侵的小型办公及家庭办公（SOHO）IP 地址。
在任何给定时间使用一组轮换的 IP 地址。威胁行为体手头有数千个可用的 IP 地址。 CovertNetwork - 16578 节点的平均正常运行时间约为 90 天。
低频次的密码喷洒过程；例如，监测来自一个 IP 地址或针对一个账号的多次登录失败尝试将无法检测到这种活动。

CovertNetwork - 1658 的活动在最近几个月有所减少，但微软评估认为，这并非是因为威胁行为体缩减了其操作。相反，该僵尸网络正在 “获取新的基础设施，其指纹与已公开披露的有所不同” 。
微软点名使用该僵尸网络的其中一个威胁组织被追踪为 Storm - 0940 。该组织经常以北美和欧洲的智库、政府机构、非政府组织、律师事务所、国防工业基地等为目标。一旦目标 Azure 账号被入侵，威胁行为体就会尝试横向移动到受感染网络的其他部分。威胁行为体还会尝试窃取数据并安装远程访问木马。
微软写道：
微软已经观察到许多案例，其中 Storm - 0940 通过 CovertNetwork - 1658 的密码喷洒式操作获取的有效凭证，获得了对目标组织的初次访问权限。在某些情况下，观察到 Storm - 0940 使用当天从 CovertNetwork - 1658 基础设施获取的被入侵凭证。这种被入侵凭证的快速交接运作证明了 CovertNetwork - 1658 的运营者和 Storm - 0940 之间很可能存在密切的工作关系。
目前尚不清楚这些被入侵的僵尸网络设备最初是如何被感染的。不管原因是什么，一旦设备被利用，威胁行为体通常会采取以下行动：

从远程文件传输协议（FTP）服务器下载 Telnet 二进制文件
从远程 FTP 服务器下载 xlogin 后门二进制文件
利用下载的 Telnet 和 xlogin 二进制文件在 TCP 端口 7777 上启动一个受访问控制的命令行外壳
连接并认证到在 TCP 端口 7777 上监听的 xlogin 后门
将一个 SOCKS5 服务器二进制文件下载到路由器
在 TCP 端口 11288 上启动 SOCKS5 服务器

【数千台遭黑客攻击的 TP-Link 路由器被用于长达数年的账号劫持攻击】微软并未就 TP - Link 路由器和其他受影响设备的用户如何预防或检测感染给出建议。过去许多专家都指出，大多数此类受感染设备在重启后无法正常运行，因为恶意软件无法写入它们的存储设备。这意味着定期重启可以对设备进行杀毒，尽管之后可能无法阻止再次感染。

关注【黑客联盟】带你走进神秘的黑客世界