microsoft 威胁情报中心( mstic )12月12日发布警报称,电信提供商正面临着一次大规模的持续黑客攻击行动,并由microsoft追踪为 gallium 的威胁组织进行操作。一个 mstic 分析师透露,该组织在从东南亚、欧洲和非洲同时进行多个攻击行动,该黑客组织利用未修补的漏洞来破坏运行 wildfly / jboss 应用程序服务器的网络端公开系统。
gallium的渗透攻击计划
按照黑客组织的计划,攻击的第一步是通过公开网络进行渗透。
一旦成功,该组织就开始使用通用的工具和 ttp (战术、技术和过程)来收集凭证,并将受损的域凭据和 psexec telnet 替换,以通过这些工具实现在网络中的无障碍移动。
这次的攻击行为,黑客组织并没有利用某种手段试图混淆运营商的感知,他们更多是公开地向网络系统植入一些功能普通的恶意软件并公开一些普通版本的工具包。
mstic 分析师称,运营商的各种业务依赖于低成本执行,其特点在于异域更换的基础架构为整个系统创建了这样的环境,通常情况下该基础架构会由动态 dns 域和定期重用的跳点组成。
黑客组织的攻击方式,是首先渗透整个架构系统再实现横向移动。他们直接利用了这些被修改过的工具,以在需要隐秘方法的操作过程中规避一些恶意软件的检测机制。
下表中列出了 microsoft 已经发现的一些被gallium使用的工具:
gallium 依靠 web shell (以 asp 、 php 、 jsp 或者 cgi 等网页文件形式存在的一种命令执行环境)达到长期活跃在目标网路的目的,并在第二阶段确保恶意软件的投放是有效的。
攻击者可以使用此工具进行多种目的和任务,包括枚举本地驱动器、执行基本文件操作、设置文件属性、提取和删除文件以及在受感染设备上运行恶意命令。
第二阶段,该小组部署了定制的 gh0st rat 和 poison ivy 恶意软件有效载荷,目的是逃避对其受害者系统的检测。
下表为 gallium 观察到的攻击中使用的第二阶段恶意软件的完整列表:
和多数黑客攻击手段不同的是, gallium 并没有专注于开发具备突破安全防护特性的恶意软件。
他们通过在内部系统上安装 softether ,可以通过该系统进行连接,以达到篡改网络中已有的工具实现规避恶意程序检测的目的,这为正式发起攻击做好了铺垫。
持续性高级威胁
2018年,以色列网络安全公司 cybereason nocturnus 便发现了一起针对全球电信提供商的高级持续攻击,攻击者使用常用工具和技术(例如 apt10 )进行攻击。
这种多点攻击的重点是获取特定的高价值目标的数据,并最终实现对网络的完全接管。
gallium 的此次攻击和上述组织使用的某些域与 operation softcell 共享,这意味着包含 apt10 , apt27 和 apt40 在内的工具均可能成为整个行动的一部分。
试用申请