中国网络威胁：Storm-0940 通过 Quad7 僵尸网络进行密码喷射攻击

关键要点

• Storm-0940 是一个活跃的中国网络威胁行为者，自 2021 年以来通过密码喷射和暴力破解的方式窃取 Microsoft 客户的凭据。
• 该团伙利用 Quad7 僵尸网络发起攻击，目标包括欧洲和北美的广泛组织。
• 根据 Microsoft 的分析，网络中大约有 8000 台受感染设备在活跃，其中仅 20% 用于实施密码喷射攻击。
• 即使疫情逐渐平息，远程工作的普遍存在使得企业网络的安全风险仍然不容忽视。
• 加强密码政策和多因素认证以及定期对员工进行网络安全最佳实践培训至关重要。

中国网络威胁团体 Storm-0940 利用 进行高度隐匿的密码喷射攻击，向广泛的欧洲和北美组织窃取 Microsoft 客户的凭据。根据 ，微软威胁情报团队表示，Storm-0940 从 2021年起就已活跃，通常通过密码喷射和暴力破解攻击或利用网络边缘应用和服务的漏洞获取访问权限。

微软指出，网络中估计有多达 8000 台感染设备处于活跃状态，但只有 20% 的设备参与了密码喷射攻击。 表明，Quad7 僵尸网络的操控者倾向于攻击多种品牌的 SOHO 路由器和 VPN 设备，包括 TP-
LINK、Zyxel、Asus、Axentra、D-Link 和 Netgear，利用多个漏洞，其中一些是之前未知的。

对于网络安全专业人士而言，这些攻击突显出，即使疫情大部分已经过去，组织仍然依赖远程办公的员工，而攻击者将会利用那些可能未遵循最佳安全实践的家庭和远程工作者。Sectigo的高级研究员 Jason Soroko 表示，初步印象可能认为 Storm-0940的密码喷射攻击主要针对家庭网络，但企业网络同样面临重大威胁。Soroko 进一步指出，许多组织仍有员工全职或兼职远程工作，还有需要访问网络的承包商和供应商。

“这种广泛的攻击面增加了成功窃取凭据的可能性，”Soroko 表示。“企业安全团队不应忽视对其组织网络的潜在影响。Storm-0940
展示了在攻破企业环境方面的能力，利用弱密码的漏洞，强调了健全密码政策和多因素认证的重要性。此外，定期对员工进行网络安全最佳实践培训也可以帮助减轻与人为错误相关的脆弱性。”

Storm-0940 的兴起及其使用 Quad7 僵尸网络进一步提醒我们，攻击者越来越倾向于通过日常设备如家庭路由器和 VPN 渗透企业网络，KeeperSecurity 的高级工程师 Jim Edwards 说。Edwards表示，随着远程工作仍然普遍存在，组织必须采用一种全面的安全策略，超越传统保护措施。

“组织必须解决通常成为攻击者‘低垂的果实’的弱凭据问题，”Edwards
担忧地说。“安全团队必须实施严格的密码政策，要求所有帐户使用强大且独特的密码：多因素认证至关重要，它增加了一层额外的安全性，显著降低了未经授权访问的几率。”

此事件再次强调加强网络安全的重要性，企业应真正重视和构建纵深防御体系，以确保在充满挑战的网络环境中保持安全。