信息來(lái)源:cnBeta
Microsoft 威脅情報(bào)中心( MSTIC )12月12日發(fā)布警報(bào)稱,電信提供商正面臨著一次大規(guī)模的持續(xù)黑客攻擊行動(dòng),并由Microsoft追蹤為 GALLIUM 的威脅組織進(jìn)行操作。一個(gè) MSTIC 分析師透露,該組織在從東南亞、歐洲和非洲同時(shí)進(jìn)行多個(gè)攻擊行動(dòng),該黑客組織利用未修補(bǔ)的漏洞來(lái)破壞運(yùn)行 WildFly / JBoss 應(yīng)用程序服務(wù)器的網(wǎng)絡(luò)端公開(kāi)系統(tǒng)。
GALLIUM的滲透攻擊計(jì)劃
按照黑客組織的計(jì)劃,攻擊的第一步是通過(guò)公開(kāi)網(wǎng)絡(luò)進(jìn)行滲透。
一旦成功,該組織就開(kāi)始使用通用的工具和 ttp (戰(zhàn)術(shù)、技術(shù)和過(guò)程)來(lái)收集憑證,并將受損的域憑據(jù)和 PsExec telnet 替換,以通過(guò)這些工具實(shí)現(xiàn)在網(wǎng)絡(luò)中的無(wú)障礙移動(dòng)。
這次的攻擊行為,黑客組織并沒(méi)有利用某種手段試圖混淆運(yùn)營(yíng)商的感知,他們更多是公開(kāi)地向網(wǎng)絡(luò)系統(tǒng)植入一些功能普通的惡意軟件并公開(kāi)一些普通版本的工具包。
MSTIC 分析師稱,運(yùn)營(yíng)商的各種業(yè)務(wù)依賴于低成本執(zhí)行,其特點(diǎn)在于異域更換的基礎(chǔ)架構(gòu)為整個(gè)系統(tǒng)創(chuàng)建了這樣的環(huán)境,通常情況下該基礎(chǔ)架構(gòu)會(huì)由動(dòng)態(tài) DNS 域和定期重用的跳點(diǎn)組成。
黑客組織的攻擊方式,是首先滲透整個(gè)架構(gòu)系統(tǒng)再實(shí)現(xiàn)橫向移動(dòng)。他們直接利用了這些被修改過(guò)的工具,以在需要隱秘方法的操作過(guò)程中規(guī)避一些惡意軟件的檢測(cè)機(jī)制。
下表中列出了 Microsoft 已經(jīng)發(fā)現(xiàn)的一些被GALLIUM使用的工具:
GALLIUM 依靠 Web Shell (以 asp 、 php 、 jsp 或者 cgi 等網(wǎng)頁(yè)文件形式存在的一種命令執(zhí)行環(huán)境)達(dá)到長(zhǎng)期活躍在目標(biāo)網(wǎng)路的目的,并在第二階段確保惡意軟件的投放是有效的。
攻擊者可以使用此工具進(jìn)行多種目的和任務(wù),包括枚舉本地驅(qū)動(dòng)器、執(zhí)行基本文件操作、設(shè)置文件屬性、提取和刪除文件以及在受感染設(shè)備上運(yùn)行惡意命令。
第二階段,該小組部署了定制的 Gh0st RAT 和 Poison Ivy 惡意軟件有效載荷,目的是逃避對(duì)其受害者系統(tǒng)的檢測(cè)。
下表為 GALLIUM 觀察到的攻擊中使用的第二階段惡意軟件的完整列表:
和多數(shù)黑客攻擊手段不同的是, GALLIUM 并沒(méi)有專注于開(kāi)發(fā)具備突破安全防護(hù)特性的惡意軟件。
他們通過(guò)在內(nèi)部系統(tǒng)上安裝 SoftEther ,可以通過(guò)該系統(tǒng)進(jìn)行連接,以達(dá)到篡改網(wǎng)絡(luò)中已有的工具實(shí)現(xiàn)規(guī)避惡意程序檢測(cè)的目的,這為正式發(fā)起攻擊做好了鋪墊。
持續(xù)性高級(jí)威脅
2018年,以色列網(wǎng)絡(luò)安全公司 Cybereason Nocturnus 便發(fā)現(xiàn)了一起針對(duì)全球電信提供商的高級(jí)持續(xù)攻擊,攻擊者使用常用工具和技術(shù)(例如 APT10 )進(jìn)行攻擊。
這種多點(diǎn)攻擊的重點(diǎn)是獲取特定的高價(jià)值目標(biāo)的數(shù)據(jù),并最終實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的完全接管。
GALLIUM 的此次攻擊和上述組織使用的某些域與 Operation SoftCell 共享,這意味著包含 APT10 , APT27 和 APT40 在內(nèi)的工具均可能成為整個(gè)行動(dòng)的一部分。