Al meer dan een jaar maken aanvallers gebruik van een botnet bestaande uit gecompromitteerde TP-Link-routers voor het uitvoeren van password spraying-aanvallen, zo waarschuwt Microsoft. Via het botnet zijn verschillende klanten van Microsoft aangevallen, aldus het techbedrijf in een blogposting. Deze klanten zijn hier inmiddels over ingelicht.

Welke kwetsbaarheid of kwetsbaarheden de aanvallers precies gebruiken voor het compromitteren van de TP-Link-routers laat Microsoft niet weten. Het botnet zou gemiddeld uit zo'n achtduizend besmette routers bestaan. Zodra de aanvallers toegang tot de router krijgen installeren ze een backdoor en software waardoor het apparaat voor de password spraying-aanvallen is te gebruiken.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Volgens Microsoft zijn aanvallen via het botnet lastig te detecteren, omdat het over duizenden ip-adressen van thuisgebruikers en kleine bedrijven beschikt.

Zodra aanvallers via het botnet toegang tot een account of systeem weten te krijgen, gebruiken ze 'scanning en credential dumping tools' om inloggegevens te stelen en zich lateraal door het netwerk te bewegen. Vervolgens wordt aanvullende malware geïnstalleerd en allerlei data gestolen. Microsoft adviseert organisaties om gebruikers voor te lichten over wachtwoordhygiëne en het hergebruik van wachtwoorden te voorkomen. Tevens moet multifactorauthenticatie (MFA) voor alle accounts worden ingesteld.