Microsoft розкрила деталі про хакерську групу Gallium

  • 13 декабря, 16:57
  • 4528
  • 0

Microsoft розкрила деталі хакерської групи, яку вона називає Gallium, що має шкідливу інфраструктуру в Китаї та Гонконгу і націлена на телекомунікаційні компанії. З опису Microsoft, група, яка була активна з 2018 року і до середини 2019, використовує дешеві й одноразові інструменти. Зловмисники також не піклуються про те, щоб приховати свої сліди або наміри у скомпрометованих мережах. Microsoft не стверджує, що ця група – просунутий постійний учасник загроз, але їхні швидкі і брудні методи виявилися ефективними.

Зловмисники сканують уразливі веб-сервери, відкриті через інтернет, такі як WildFly, розроблений Red Hat (він же JBoss), і потім використовують для їхньої атаки загальновідомі експлойти. Компрометація веб-сервера дає Gallium точку опори в мережі жертви, яка не вимагає взаємодії з користувачем. Наприклад традиційних методів доставки, таких як фішинг. Після експлуатації веб-серверів суб’єкти Gallium зазвичай встановлюють веб-оболонки, а потім встановлюють додаткові інструменти, що дозволяють їм досліджувати цільову мережу.

Microsoft відзначає, що хакери цієї групи модифікують стандартні шкідливі інструменти тільки для того, щоб уникнути виявлення шкідливих програм, а не для розробки призначених для користувача функцій. Хакери використовували злегка змінені версій інструментів: HTRAN, Mimikatz, NBTScan, Netcat, PsExec, Windows Credential Editor та WinRAR. Mimikatz використовується для крадіжки облікових даних один раз всередині мережі. Група підписала кілька своїх модифікованих інструментів, використовуючи вкрадені сертифікати підпису коду. Аналогічним чином група використовує модифіковану версію інструменту віддаленого доступу Poison Ivy (RAT), варіант Gh0st RAT під назвою QuarkBandit, широко поширену веб-оболонку China Chopper і власну веб-оболонку IIS BlackMould. Інший інструмент, який використовує Gallium, – це SoftEther VPN, що дозволяє їм підтримувати точку опори в мережі.

Microsoft відзначає, що активність групи в останні місяці знизилася. Але компанія сподівається, що обмін методами, інструментами та індикаторами групи спонукає інших членів спільноти безпеки до активного захисту.


Теги: gallium
0 комментариев
Сортировка:
Добавить комментарий