微软警告:GALLIUM黑客组织目标瞄准全球电信公司

华盟原创文章投稿奖励计划

Microsoft威胁情报中心(MSTIC)警告称:GALLIUM黑客组织将目标瞄准全球电信供应商。

Microsoft专家报告说,GALLIUM黑客组织利用未修补的漏洞来破坏运行/ JBoss应用程序服务器的系统。

Microsoft发布警告称:Microsoft威胁情报中心(MSTIC)正在提高对名为GALLIUM黑客组织正在进行的活动的认识。为了破坏目标网络,GALLIUM使用公开可用的漏洞攻击未修补的面向internet的服务,并且已知其目标是WildFly/JBoss中的漏洞

GALLIUM黑客组织活跃,他们在2018年至2019年年中这段时间更为活跃。

 微软警告:GALLIUM黑客组织目标瞄准全球电信公司

一旦攻击者攻破了目标网络,他们便使用Mimikatz等通用技术和工具来窃取可用于横向移动的凭据。

以下是GALLIUM黑客组织使用的工具列表:

 微软警告:GALLIUM黑客组织目标瞄准全球电信公司

GALLIUM黑客组织使用被盗的代码签名证书签署了多个工具。

专家指出,GALLIUM黑客组织正在使用常见版本的恶意软件和公开可用的工具,只需稍作改动,就可以逃避检测。运营商利用低成本和易于替换的基础设施,使用动态DNS域和定期重用的跃点。

MSTIC分析表明,使用动态DNS提供商而不是注册域名符合GALLIUM低成本、低投入运营的趋势。”

在中国大陆、香港特区和台湾的基础设施中都发现了托管在基础设施上的GALLIUM

黑客很大程度上依赖于网络外壳作为攻击链的第一阶段,以获得目标网络中的持久性,然后通过现有的网络外壳访问提供恶意软件。

GALLIUM依靠Web Shell来获得目标网络中的持久性,并丢弃其第二阶段恶意软件有效负载,而不是第一阶段的安装程序。

除了标准的China Chopper之外,该组织还使用本机Web Shell来运行名为BlackMould的运行Microsoft IIS的服务器。

Blackmold能够枚举本地驱动器,使用基本的文件操作(即查找、读取、写入、删除和复制),设置文件属性,渗透文件,并使用参数运行cmd.exe。

该组织提供了Gh0st RATPoison Ivy定制版本,在这两种情况下,攻击者都修改了两个恶意软件使用的通信方法。

 微软警告:GALLIUM黑客组织目标瞄准全球电信公司

攻击者还将QuarkBandit用作第二阶段恶意软件,专家将其描述为具有修改的配置选项和加密的Gh0st RAT变体。

研究人员还观察到GALLIUM黑客组织使用软VPN软件访问目标网络并保持持久性。

Microsoft还在其报告中发布了危害指标(IOC)列表。

本原创,作者:Jill,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/77169kx/247241.html