微软警告 GALLIUM 黑客组织瞄准全球电信供应商

微软专家指出：GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。

  “目前微软威胁情报中心（MSTIC）在对GALLIUM黑客组织行为逐步了解中发现，其目标是电信供应商，为了破坏其目标网络，GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。”

  GALLIUM 的行为表现活跃，尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络，他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。

  专家指出，目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具，这工具只需稍作改动，就可以逃避检测。运营商利用低成本和易于替换的基础设施，使用动态DNS域和定期重用的跃点。

  MSTIC分析指出：使用动态DNS提供商而不是符合条件的注册域名，GALLIUM的低成本、低投入成为运营趋势。

  在中国大陆、中国香港和中国台湾的基础设施中，且已观察到GALLIUM基础设施建设。

  威胁行为很大程度上依赖于网络shell，通过此shell获得持久网络稳定，然后进行恶意软件传输。在这个阶段中，恶意软件的有效负载将会被舍弃，且不会通过稳定网络进行程序安装。