Jump to content
Search In
  • More options...
Find results that contain...
Find results in...

GALLIUM атаковала крупные телекоммуникационные компании по всему миру

Sign in to follow this  
mr.save

11 views

Команда исследователей из Microsoft Threat Intelligence Center (MSTIC) предупредила о продолжающихся атаках киберпреступной группировки GALLIUM, направленных на телекоммуникационных провайдеров в Юго-Восточной Азии, Европе и Африке. Злоумышленники эксплуатируют уязвимости в сервере приложений с открытым исходным кодом WildFly (ранее JBoss Application Server).

Проникнув в сеть компании, преступники начинают собирать учетные данные с использованием распространенных инструментов и TTP (тактик, методов и процедур). Они используют скомпрометированные учетные данные и утилиту PsExec для перемещения в сети и выполнения процессов на других системах.

«Операторы полагаются на дешевую и легко заменяемую инфраструктуру, которая состоит из DNS-доменов и повторно используемых точек перехода», — пояснили исследователи.

В числе инструментов GALLIUM, выявленных экспертами во время прошлых кампаний, есть HTRAN (перенаправление пакетов), Mimikatz и Windows Credential Editor (восстановление токенов авторизации), NBTScan (для обнаружения DNS-серверов NETBIOS в локальной или удаленной сети), Netcat (чтение и запись с использованием TCP- или UDP-протоколов), PsExec (удаленное выполнение команд на системе), а также WinRAR.

С помощью web-оболочек преступники обеспечивают персистентность на целевой системе и загружают полезную нагрузку.

В дополнение к бэкдору China Chopper, группировка использует созданный на его основе web-шелл BlackMould для различных целей и задач, включая поиск локальных дисков, выполнение основных файловых операций, настройку атрибутов файла, эксфильтрацию и удаление файлов, а также выполнение вредоносных команд на скомпрометированных устройствах.

В рамках второго этапа группировка загружает модифицированные версии вредоносов Gh0st RAT и Poison Ivy, разработанные для предотвращения обнаружения.

Как отметили специалисты, вместо разработки собственных вредоносных программ, GALLIUM изменяла чужие инструменты для повышения эффективности атак.

Sign in to follow this  


0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...