微软公司周四宣布正告，称有黑客运用一个由数千台路由器、摄像头及其他联网设备组成的僵尸网络，对微软 Azure 云服务的用户主张高度荫蔽的暗码喷洒式进犯。

  这个歹意网络简直完全由 TP-Link 路由器构成，2023 年 10 月初度被一位研究人员记录在案，该研究人员将其命名为 Botnet - 7777。这个在巅峰时期由超越 16000 台被侵略设备组成、散布在各地的调集之所以叫这一个姓名，是由于它在 7777 端口露出其歹意软件。

  本年 7 月和 8 月，来自 Sekoia.io 和 Team Cymru 的安全研究人员陈述称，该僵尸网络仍在运转。这三份陈述均指出，Botnet - 7777 被奇妙地用于履行暗码喷洒式进犯，这是一种从许多不同 IP 地址发送很多登录测验的进犯方式。由于每台独自的设备会约束登录测验次数，这种精心和谐的账号绑架活动很难被方针服务检测到。

  周四，微软陈述称，CovertNetwork - 1658（微软用来追寻该僵尸网络的称号）正被多个要挟行为体运用，企图侵略方针 Azure 账号。该公司表明，这些进犯 “高度荫蔽”，由于这个现在均匀规划约为 8000 台设备的僵尸网络煞费苦心地躲藏其歹意活动。

  微软官方人员写道：“任何运用 CovertNetwork - 1658 基础设施的要挟行为体都能更大规划地展开暗码喷洒式进犯活动，并在短时间内大幅度的添加成功盗取凭据并初度侵略多个安排的或许性。这种规划，再加上 CovertNetwork - 1658 和要挟行为体之间被侵略凭据的快速周转运作，使得跨多个职业和地舆区域的账号被侵略存在潜在或许。”

  CovertNetwork - 1658 的活动在最近几个月有所削减，但微软评价以为，这并不是由于要挟行为体缩减了其操作。相反，该僵尸网络正在 “获取新的基础设施，其指纹与已揭露发表的不一样”。

  微软点名运用该僵尸网络的其间一个要挟安排被追寻为 Storm - 0940。该安排常常以北美和欧洲的智库、政府机构、非政府安排、律师事务所、国防工业基地等为方针。一旦方针 Azure 账号被侵略，要挟行为体就会测验横向移动到受感染网络的其他部分。要挟行为体还会测验盗取数据并装置长途拜访木马。

  微软现已观察到许多事例，其间 Storm - 0940 经过 CovertNetwork - 1658 的暗码喷洒式操作获取的有用凭据，获得了对方针安排的初度拜访权限。在某些情况下，观察到 Storm - 0940 运用当天从 CovertNetwork - 1658 基础设施获取的被侵略凭据。这种被侵略凭据的快速交代运作证明了 CovertNetwork - 1658 的运营者和 Storm - 0940 之间很或许存在亲近的工作关系。

  现在尚不清楚这些被侵略的僵尸网络设备开始是怎么被感染的。不论原因是什么，一旦设备被运用，要挟行为体通常会采纳以下举动：

  运用下载的 Telnet 和 xlogin 二进制文件在 TCP 端口 7777 上发动一个受拜访操控的命令行外壳

  微软并未就 TP - Link 路由器和其他受影响设备的用户怎么防备或检测感染给出主张。曩昔许多专家都指出，大多数此类受感染设备在重启后无法正常运转，由于歹意软件无法写入它们的存储设备。这在某种程度上预示着定时重启可以对设备做杀毒，虽然之后或许没办法阻挠再次感染。