安卓免费国外ip代理器
微软公司周四发出警告,称有黑客利用一个由数千台路由器、摄像头及其他联网设备组成的僵尸网络,对微软 Azure 云服务的用户发起高度隐蔽的密码喷洒式攻击安卓免费国外ip代理器。
这个恶意网络几乎完全由 TP-Link 路由器构成,2023 年 10 月首次被一位研究人员记录在案,该研究人员将其命名为 Botnet - 7777。这个在巅峰时期由超过 16000 台被入侵设备组成、分布在各地的集合之所以叫这个名字,是因为它在 7777 端口暴露其恶意软件。
今年 7 月和 8 月,来自 Sekoia.io 和 Team Cymru 的安全研究人员报告称,该僵尸网络仍在运行。这三份报告均指出,Botnet - 7777 被巧妙地用于执行密码喷洒式攻击,这是一种从许多不同 IP 地址发送大量登录尝试的攻击形式。由于每台单独的设备会限制登录尝试次数,这种精心协调的账号劫持活动很难被目标服务检测到。
周四,微软报告称,CovertNetwork - 1658(微软用来追踪该僵尸网络的名称)正被多个威胁行为体利用,试图入侵目标 Azure 账号。该公司表示,这些攻击 “高度隐蔽”,因为这个如今平均规模约为 8000 台设备的僵尸网络煞费苦心地隐藏其恶意活动。
微软官方人员写道:“任何使用 CovertNetwork - 1658 基础设施的威胁行为体都能更大规模地开展密码喷洒式攻击活动,并在短时间内大幅增加成功窃取凭证并初次入侵多个组织的可能性。这种规模,再加上 CovertNetwork - 1658 和威胁行为体之间被入侵凭证的快速周转运作,使得跨多个行业和地理区域的账号被入侵存在潜在可能。”
CovertNetwork - 1658 的活动在最近几个月有所减少,但微软评估认为,这并非是因为威胁行为体缩减了其操作。相反,该僵尸网络正在 “获取新的基础设施,其指纹与已公开披露的有所不同”。
微软点名使用该僵尸网络的其中一个威胁组织被追踪为 Storm - 0940。该组织经常以北美和欧洲的智库、政府机构、非政府组织、律师事务所、国防工业基地等为目标。一旦目标 Azure 账号被入侵,威胁行为体就会尝试横向移动到受感染网络的其他部分。威胁行为体还会尝试窃取数据并安装远程访问木马。
微软已经观察到许多案例,其中 Storm - 0940 通过 CovertNetwork - 1658 的密码喷洒式操作获取的有效凭证,获得了对目标组织的初次访问权限。在某些情况下,观察到 Storm - 0940 使用当天从 CovertNetwork - 1658 基础设施获取的被入侵凭证。这种被入侵凭证的快速交接运作证明了 CovertNetwork - 1658 的运营者和 Storm - 0940 之间很可能存在密切的工作关系。
目前尚不清楚这些被入侵的僵尸网络设备最初是如何被感染的。不管原因是什么,一旦设备被利用,威胁行为体通常会采取以下行动:
利用下载的 Telnet 和 xlogin 二进制文件在 TCP 端口 7777 上启动一个受访问控制的命令行外壳
微软并未就 TP - Link 路由器和其他受影响设备的用户如何预防或检测感染给出建议。过去许多专家都指出,大多数此类受感染设备在重启后无法正常运行,因为恶意软件无法写入它们的存储设备。这意味着定期重启可以对设备进行杀毒,尽管之后可能无法阻止再次感染。