微软警告说这个黑客组织的目标是脆弱的web服务器

微软(Microsoft)披露了一个名为Gallium的黑客组织的细节，该组织在中国内地和香港拥有恶意软件基础设施，并一直将目标对准电信公司。

根据微软的描述，这个从2018年到2019年中期一直很活跃的组织使用廉价的一次性工具，他们不关心一旦被侵入网络就隐藏他们的踪迹或意图。微软并没有声称该组织是一个高级的持续威胁行动者，但他们的快速和肮脏的技术已被证明是有效的。

攻击者正在扫描互联网暴露和脆弱的web服务器，比如Red hat开发的WildFly(又名JBoss)，然后使用众所周知的攻击来攻击它们。

微软威胁情报中心(MSTIC)警告说:“危及web服务器让镓在不需要用户交互的受害网络中找到了立足点，比如传统的网络钓鱼。”

“在利用web服务器之后，镓参与者通常会安装web外壳，然后安装其他工具，以允许他们探索目标网络。”

微软指出，Galium黑客修改现成的恶意软件工具只是为了逃避反恶意软件检测，而不是开发定制功能。

该小组使用的稍微修改过的工具有:HTRAN、Mimikatz、NBTScan、Netcat、PsExec、Windows Credential Editor和WinRAR。一旦进入网络，Mimikatz就被用来窃取凭证。该组织已经使用偷来的代码签名证书签署了几个修改过的工具。

类似地，它使用的是修改版的毒藤远程访问工具(RAT)、Gh0st RAT的变种QuarkBandit、广泛共享的web shell China Chopper和本地IIS web shell blackmold。

请看:当局取缔了“即将监控”的老鼠恶意软件操作

Gallium使用的另一个工具是SoftEther VPN，让他们在网络中保持一个立足点。

微软指出，该组织的活动在最近几个月有所减少，但公司希望，分享该组织的方法、工具和指标将鼓励安全社区的其他成员实施积极防御。