中国威胁组利用盗用凭证进行网络攻击

关键要点

• 中国威胁组如Storm-0940正在利用通过Quad7僵尸网络盗取的被盗账户凭证进行网络入侵。
• Quad7通过密码喷洒攻击成功提取目标系统密码后，Storm-0940立即利用这些凭证进行网络破解和恶意软件部署。
• 研究人员怀疑某些未公开的OpenWRT零日漏洞被利用来攻破SOHO路由器。

根据的报道，多个中国威胁组织，包括Storm-0940，正利用中国本土的，即CovertNetwork-1658或xlogin，来实施密码喷洒攻击，从而获取盗取的账户凭证以便进行进一步的网络攻击。此次攻击还涉及被破坏的SOHO路由器。

Quad7通过有限的登录尝试成功提取了目标系统的密码，以规避检测。Storm-0940随后立即利用被盗凭证破坏网络，进行凭证转储，部署远程访问木马和代理工具，确保其持续性，这被视为可能的网络间谍攻击。根据微软威胁情报团队的分析，Quad7具体如何入侵SOHO路由器仍不确定，但Sekoia研究人员之前指出，一项OpenWRT零日漏洞被攻击者利用来攻陷其蜜罐系统。Sekoia研究人员表示：“我们等了不到一周就观察到一个显著的攻击，这次攻击在目前看来似乎是一个不公开的未经验证的文件泄露和命令注入。”

注意 ：保持网络安全，及时更新系统和应用程序，以防止此类攻击。