Microsoft сообщила, что китайские хакеры используют ботнет Quad7 для взлома паролей и кражи учетных данных.
Ботнет Quad7, также известный как CovertNetwork-1658 или xlogin, был впервые обнаружен летом 2023 года исследователем безопасности Gi7w0rm.
В сентябре 2024 года команда Sekoia TDR сообщила, что обнаружила дополнительные имплантаты, связанные с эксплуатацией ботнета Quad7. Операторы ботнетов атакуют многие устройства SOHO и VPN, включая системы TP-LINK, Zyxel, Asus, D-Link и Netgear, используя как известные, так и ранее неизвестные цели.
Операторы поддерживают ботнет для проведения атак на учетные записи VPN, Telnet, SSH и Microsoft 365.
Эксперты выделили пять различных кластеров входа (alogin, xlogin, axlogin, rlogin и zylogin), связанных с операторами этих ботнетов. Некоторые из этих кластеров специально предназначены для медиа-серверов Axentra, беспроводных маршрутизаторов Ruckus и VPN-устройств Zyxel.
Ботнет Quad7 в основном используется с маршрутизаторами TP-Link для атак на учетные записи Microsoft 365. Microsoft призывает организации усилить аутентификацию и безопасность облачных данных.