微软警告说这个黑客组织的目标是脆弱的web服务器
微软(Microsoft)披露了一个名为Gallium的黑客组织的细节,该组织在中国内地和香港拥有恶意软件基础设施,并一直将目标对准电信公司。
根据微软的描述,这个从2018年到2019年中期一直很活跃的组织使用廉价的一次性工具,他们不关心一旦被侵入网络就隐藏他们的踪迹或意图。微软并没有声称该组织是一个高级的持续威胁行动者,但他们的快速和肮脏的技术已被证明是有效的。
攻击者正在扫描互联网暴露和脆弱的web服务器,比如Red hat开发的WildFly(又名JBoss),然后使用众所周知的攻击来攻击它们。
微软威胁情报中心(MSTIC)警告说:“危及web服务器让镓在不需要用户交互的受害网络中找到了立足点,比如传统的网络钓鱼。”
“在利用web服务器之后,镓参与者通常会安装web外壳,然后安装其他工具,以允许他们探索目标网络。”
微软指出,Galium黑客修改现成的恶意软件工具只是为了逃避反恶意软件检测,而不是开发定制功能。
该小组使用的稍微修改过的工具有:HTRAN、Mimikatz、NBTScan、Netcat、PsExec、Windows Credential Editor和WinRAR。一旦进入网络,Mimikatz就被用来窃取凭证。该组织已经使用偷来的代码签名证书签署了几个修改过的工具。
类似地,它使用的是修改版的毒藤远程访问工具(RAT)、Gh0st RAT的变种QuarkBandit、广泛共享的web shell China Chopper和本地IIS web shell blackmold。
请看:当局取缔了“即将监控”的老鼠恶意软件操作
Gallium使用的另一个工具是SoftEther VPN,让他们在网络中保持一个立足点。
微软指出,该组织的活动在最近几个月有所减少,但公司希望,分享该组织的方法、工具和指标将鼓励安全社区的其他成员实施积极防御。