Microsoft розкрила деталі про хакерську групу Gallium

Microsoft розкрила деталі хакерської групи, яку вона називає Gallium, що має шкідливу інфраструктуру в Китаї та Гонконгу і націлена на телекомунікаційні компанії. З опису Microsoft, група, яка була активна з 2018 року і до середини 2019, використовує дешеві й одноразові інструменти. Зловмисники також не піклуються про те, щоб приховати свої сліди або наміри у скомпрометованих мережах. Microsoft не стверджує, що ця група – просунутий постійний учасник загроз, але їхні швидкі і брудні методи виявилися ефективними.

Зловмисники сканують уразливі веб-сервери, відкриті через інтернет, такі як WildFly, розроблений Red Hat (він же JBoss), і потім використовують для їхньої атаки загальновідомі експлойти. Компрометація веб-сервера дає Gallium точку опори в мережі жертви, яка не вимагає взаємодії з користувачем. Наприклад традиційних методів доставки, таких як фішинг. Після експлуатації веб-серверів суб’єкти Gallium зазвичай встановлюють веб-оболонки, а потім встановлюють додаткові інструменти, що дозволяють їм досліджувати цільову мережу.

Microsoft відзначає, що хакери цієї групи модифікують стандартні шкідливі інструменти тільки для того, щоб уникнути виявлення шкідливих програм, а не для розробки призначених для користувача функцій. Хакери використовували злегка змінені версій інструментів: HTRAN, Mimikatz, NBTScan, Netcat, PsExec, Windows Credential Editor та WinRAR. Mimikatz використовується для крадіжки облікових даних один раз всередині мережі. Група підписала кілька своїх модифікованих інструментів, використовуючи вкрадені сертифікати підпису коду. Аналогічним чином група використовує модифіковану версію інструменту віддаленого доступу Poison Ivy (RAT), варіант Gh0st RAT під назвою QuarkBandit, широко поширену веб-оболонку China Chopper і власну веб-оболонку IIS BlackMould. Інший інструмент, який використовує Gallium, – це SoftEther VPN, що дозволяє їм підтримувати точку опори в мережі.

Microsoft відзначає, що активність групи в останні місяці знизилася. Але компанія сподівається, що обмін методами, інструментами та індикаторами групи спонукає інших членів спільноти безпеки до активного захисту.

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.