微软警告 GALLIUM 黑客组织瞄准全球电信供应商

文章作者:技术宅 | 2019-12-23
字体大小:

微软专家指出:GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。

  “目前微软威胁情报中心(MSTIC)在对GALLIUM黑客组织行为逐步了解中发现,其目标是电信供应商,为了破坏其目标网络,GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。”

  GALLIUM 的行为表现活跃,尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络,他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。

  专家指出,目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具,这工具只需稍作改动,就可以逃避检测。运营商利用低成本和易于替换的基础设施,使用动态DNS域和定期重用的跃点。

  MSTIC分析指出:使用动态DNS提供商而不是符合条件的注册域名,GALLIUM的低成本、低投入成为运营趋势。

  在中国大陆、中国香港和中国台湾的基础设施中,且已观察到GALLIUM基础设施建设。

  威胁行为很大程度上依赖于网络shell,通过此shell获得持久网络稳定,然后进行恶意软件传输。在这个阶段中,恶意软件的有效负载将会被舍弃,且不会通过稳定网络进行程序安装。

暂时关闭评论!
Copyright © 2019 技术宅 版权所有 关于我们| 法律声明| 免责声明| 广告服务| 联系我们| 投稿| 充值| 豫ICP备19037125号