Jump to content

GALLIUM атаковала крупные телекоммуникационные компании по всему миру

Sign in to follow this  
mr.save

37 views

Команда исследователей из Microsoft Threat Intelligence Center (MSTIC) предупредила о продолжающихся атаках киберпреступной группировки GALLIUM, направленных на телекоммуникационных провайдеров в Юго-Восточной Азии, Европе и Африке. Злоумышленники эксплуатируют уязвимости в сервере приложений с открытым исходным кодом WildFly (ранее JBoss Application Server).

Проникнув в сеть компании, преступники начинают собирать учетные данные с использованием распространенных инструментов и TTP (тактик, методов и процедур). Они используют скомпрометированные учетные данные и утилиту PsExec для перемещения в сети и выполнения процессов на других системах.

«Операторы полагаются на дешевую и легко заменяемую инфраструктуру, которая состоит из DNS-доменов и повторно используемых точек перехода», — пояснили исследователи.

В числе инструментов GALLIUM, выявленных экспертами во время прошлых кампаний, есть HTRAN (перенаправление пакетов), Mimikatz и Windows Credential Editor (восстановление токенов авторизации), NBTScan (для обнаружения DNS-серверов NETBIOS в локальной или удаленной сети), Netcat (чтение и запись с использованием TCP- или UDP-протоколов), PsExec (удаленное выполнение команд на системе), а также WinRAR.

С помощью web-оболочек преступники обеспечивают персистентность на целевой системе и загружают полезную нагрузку.

В дополнение к бэкдору China Chopper, группировка использует созданный на его основе web-шелл BlackMould для различных целей и задач, включая поиск локальных дисков, выполнение основных файловых операций, настройку атрибутов файла, эксфильтрацию и удаление файлов, а также выполнение вредоносных команд на скомпрометированных устройствах.

В рамках второго этапа группировка загружает модифицированные версии вредоносов Gh0st RAT и Poison Ivy, разработанные для предотвращения обнаружения.

Как отметили специалисты, вместо разработки собственных вредоносных программ, GALLIUM изменяла чужие инструменты для повышения эффективности атак.

Sign in to follow this  


0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...