中国政府に代わって活動するハッカーらが、数千台のルーター、カメラ、その他インターネットに接続されたデバイスからなるボットネットを利用して、Microsoftのクラウドサービス「Azure」のユーザーに対して高度に回避性の高いパスワードスプレー攻撃を行っていると、同社は木曜日に警告した。

この悪意のあるネットワークは、ほぼ完全に TP-Link ルーターで構成されており、2023 年 10 月にこのネットワークに名前を付けた研究者によって初めて記録されました。 ボットネット-7777。ピーク時には 16,000 台以上の侵害されたデバイスが地理的に分散して集まり、ポート 7777 で悪意のあるマルウェアを公開することからその名前が付けられました。

大規模なアカウント侵害

今年の 7 月と 8 月に、次のセキュリティ研究者が セルビア そして チーム・シムル ボットネットがまだ動作していると報告しました。 3 件のレポートはすべて、Botnet-7777 が、さまざまな IP アドレスから大量のログイン試行を送信する攻撃形式であるパスワード スプレーを巧みに実行するために使用されていたと述べています。個々のデバイスによってログイン試行が制限されるため、慎重に調整されたアカウント乗っ取りキャンペーンは、対象のサービスによって検出されにくくなります。

木曜日、マイクロソフトは 報告されました CovertNetwork-1658 (Microsoft がボットネットの追跡に使用している名前) は、複数の中国の攻撃者によって、標的の Azure アカウントを侵害する目的で使用されています。同社は、現時点で平均約8,000の攻撃力があると推定されているボットネットが悪意のある活動を隠蔽するのに苦労しているため、攻撃は「高度に回避可能」であると述べた。

「CovertNetwork-1658 インフラストラクチャを使用する攻撃者は、大規模なパスワード スプレー キャンペーンを実施する可能性があり、短期間で資格情報の侵害や複数の組織への初期アクセスが成功する可能性が大幅に高まる可能性があります」と Microsoft 関係者は書いています。 「この規模は、CovertNetwork-1658 と中国の脅威アクターの間で漏洩した資格情報の迅速な運用操作と組み合わせることで、複数のセクターおよび地理的地域にわたるアカウント侵害の可能性を考慮します。

検出を困難にする特性には次のようなものがあります。

• 侵害された SOHO IP アドレスの使用
• 常に循環する IP アドレスのセットの使用。攻撃者は、自由に使用できる数千の IP アドレスを持っていました。 CovertNetwork-1658 ノードの平均稼働時間は約 90 日です。
• 少量のパスワード スプレー プロセス。たとえば、1 つの IP アドレスまたは 1 つのアカウントへの複数の失敗したサインイン試行を監視しても、このアクティビティは検出されません。