今年8月、9月,资安业者10月31日
微软的研究人员指出,这个僵尸网路由SOHO路由器组成,其中又以TP-Link的网路设备占大多数,根据他们的调查,经营该僵尸网路的人士很可能位于中国,并透过路由器的漏洞而能够远端执行程式码进行相关攻击,而且,有多组中国骇客使用该僵尸网路窃得的帐密资料,其中一组人马就是自2021年开始活跃的Storm-0940。 这些骇客主要的攻击范围涵盖北美及欧洲,智库、政府机关、非政府组织、法律事务所、国防产业都是其目标。 而对于Quad7的攻击行动,研究人员提到,骇客在成功入侵路由器后,很有可能遵循特定的模式进行密码泼洒攻击。 首先,对方会从FTP下载Telnet执行档、xlogin后门程式,然后借由这2支程式在TCP 7777埠启动Command Shell,并以后门程式进行连线及身分验证,监听该连接埠。 接著,攻击者会下载另一支程式,使用TCP 11288埠执行SOCKS5伺服器。 为何这波攻击行动难以察觉?研究人员提及这个僵尸网路的活动频率相当低,就大部分攻击行为而言,他们发现该僵尸网路一天只会对每个帐号尝试登入1次。 再者,这些骇客滥用遭骇的SOHO环境IP位址从事攻击行动,而且还是使用多达数千个IP位址不定期进行更换,他们使用的节点平均运作周期约为90天。 值得留意的是,先前资安业者公开Quad7调查结果后,相关活动出现大幅下滑的现象,但该僵尸网路并未完全消声匿迹,微软表示,攻击者很有可能根据调查报告的内容进行调整,因为,他们近期再度发现相关活动出现显著增加的情形。