Microsoft ընկերությունը հայտնել է, որ չինացի հաքերներն օգտագործում են Quad7 բոտնետը՝ գաղտնաբառ կոտրելու և հավատարմագրեր գողանալու համար:
Quad7 բոտնետը, որը նաև հայտնի է որպես CovertNetwork-1658 կամ xlogin, առաջին անգամ նկատվել է 2023 թվականի ամռանն անվտանգության հետազոտող Gi7w0rm-ի կողմից:
2024 թվականի սեպտեմբերին Sekoia TDR թիմը հայտնել է, որ հայտնաբերել է լրացուցիչ իմպլանտներ՝ կապված Quad7 բոտնետների շահագործման հետ: Բոտնետների օպերատորները թիրախավորում են բազմաթիվ SOHO և VPN սարքեր՝ ներառյալ TP-LINK, Zyxel, Asus, D-Link և Netgear համակարգերն՝ օգտագործելով ինչպես հայտնի, այնպես էլ նախկինում անհայտ թիրախներ:
Օպերատորները պահպանում են բոտնետը VPN-ների, Telnet-ի, SSH-ի և Microsoft 365 հաշիվների վրա հարձակումներ գործարկելու համար:
Փորձագետները հայտնաբերել են հինգ տարբեր մուտքի կլաստերներ (alogin, xlogin, axlogin, rlogin և zylogin), որոնք կապված են այս բոտնետների օպերատորների հետ: Այս կլաստերներից մի քանիսը հատուկ թիրախավորում են Axentra մեդիա սերվերները, Ruckus անլար երթուղիչները (րոութերները) և Zyxel VPN սարքերը:
Quad7 բոտնետը հիմնականում TP-Link երթուղիչներով օգտագործվում է Microsoft 365 հաշիվների վրա հարձակումներ իրականացնելու համար։ Microsoft-ը կոչ է անում կազմակերպություններին ուժեղացնել հավատարմագրման և ամպային տվյալների անվտանգությունը:
