中国网络威胁：Storm0940 通过 Quad7 僵尸网络进行密码喷射攻击

关键要点

中国网络威胁团体 Storm0940 利用 Quad7 僵尸网络 进行高度隐匿的密码喷射攻击，向广泛的欧洲和北美组织窃取 Microsoft 客户的凭据。根据 10 月 31 日的博客文章，微软威胁情报团队表示，Storm0940 从 2021 年起就已活跃，通常通过密码喷射和暴力破解攻击或利用网络边缘应用和服务的漏洞获取访问权限。

微软指出，网络中估计有多达 8000 台感染设备处于活跃状态，但只有 20 的设备参与了密码喷射攻击。 Sekoia 于 9 月 9 日的研究 表明，Quad7 僵尸网络的操控者倾向于攻击多种品牌的 SOHO 路由器和 VPN 设备，包括 TPLINK、Zyxel、Asus、Axentra、DLink 和 Netgear，利用多个漏洞，其中一些是之前未知的。

对于网络安全专业人士而言，这些攻击突显出，即使疫情大部分已经过去，组织仍然依赖远程办公的员工，而攻击者将会利用那些可能未遵循最佳安全实践的家庭和远程工作者。Sectigo 的高级研究员 Jason Soroko 表示，初步印象可能认为 Storm0940 的密码喷射攻击主要针对家庭网络，但企业网络同样面临重大威胁。Soroko 进一步指出，许多组织仍有员工全职或兼职远程工作，还有需要访问网络的承包商和供应商。

“这种广泛的攻击面增加了成功窃取凭据的可能性，”Soroko 表示。“企业安全团队不应忽视对其组织网络的潜在影响。Storm0940 展示了在攻破企业环境方面的能力，利用弱密码的漏洞，强调了健全密码政策和多因素认证的重要性。此外，定期对员工进行网络安全最佳实践培训也可以帮助减轻与人为错误相关的脆弱性。”

Storm0940 的兴起及其使用 Quad7 僵尸网络进一步提醒我们，攻击者越来越倾向于通过日常设备如家庭路由器和 VPN 渗透企业网络，Keeper Security 的高级工程师 Jim Edwards 说。Edwards 表示，随着远程工作仍然普遍存在，组织必须采用一种全面的安全策略，超越传统保护措施。

“组织必须解决通常成为攻击者‘低垂的果实’的弱凭据问题，”Edwards 担忧地说。“安全团队必须实施严格的密码政策，要求所有帐户使用强大且独特的密码：多因素认证至关重要，它增加了一层额外的安全性，显著降低了未经授权访问的几率。”

此事件再次强调加强网络安全的重要性，企业应真正重视和构建纵深防御体系，以确保在充满挑战的网络环境中保持安全。