微軟發出警告:一波大規模黑客攻擊來襲電信運營商需警惕
Microsoft威脅情報中心( MSTIC )12月12日發布警報稱,電信提供商正面臨著一次大規模的持續黑客攻擊行動,並由Microsoft追踪為GALLIUM的威脅組織進行操作。一個MSTIC分析師透露,該組織在從東南亞、歐洲和非洲同時進行多個攻擊行動,該黑客組織利用未修補的漏洞來破壞運行WildFly / JBoss應用程序服務器的網絡端公開系統。
GALLIUM的滲透攻擊計劃
按照黑客組織的計劃,攻擊的第一步是通過公開網絡進行滲透。
一旦成功,該組織就開始使用通用的工具和ttp (戰術、技術和過程)來收集憑證,並將受損的域憑據和PsExec telnet 替換,以通過這些工具實現在網絡中的無障礙移動。
這次的攻擊行為,黑客組織並沒有利用某種手段試圖混淆運營商的感知,他們更多是公開地向網絡系統植入一些功能普通的惡意軟件並公開一些普通版本的工具包。
MSTIC 分析師稱,運營商的各種業務依賴於低成本執行,其特點在於異域更換的基礎架構為整個系統創建了這樣的環境,通常情況下該基礎架構會由動態DNS 域和定期重用的跳點組成。
黑客組織的攻擊方式,是首先滲透整個架構系統再實現橫向移動。他們直接利用了這些被修改過的工具,以在需要隱秘方法的操作過程中規避一些惡意軟件的檢測機制。
下表中列出了Microsoft 已經發現的一些被GALLIUM使用的工具:
GALLIUM 依靠Web Shell (以asp 、 php 、 jsp 或者cgi 等網頁文件形式存在的一種命令執行環境)達到長期活躍在目標網路的目的,並在第二階段確保惡意軟件的投放是有效的。
攻擊者可以使用此工具進行多種目的和任務,包括枚舉本地驅動器、執行基本文件操作、設置文件屬性、提取和刪除文件以及在受感染設備上運行惡意命令。
第二階段,該小組部署了定制的Gh0st RAT 和Poison Ivy 惡意軟件有效載荷,目的是逃避對其受害者係統的檢測。
下表為GALLIUM 觀察到的攻擊中使用的第二階段惡意軟件的完整列表:
和多數黑客攻擊手段不同的是, GALLIUM 並沒有專注於開發具備突破安全防護特性的惡意軟件。
他們通過在內部系統上安裝SoftEther ,可以通過該系統進行連接,以達到篡改網絡中已有的工具實現規避惡意程序檢測的目的,這為正式發起攻擊做好了鋪墊。
持續性高級威脅
2018年,以色列網絡安全公司Cybereason Nocturnus 便發現了一起針對全球電信提供商的高級持續攻擊,攻擊者使用常用工具和技術(例如APT10 )進行攻擊。
這種多點攻擊的重點是獲取特定的高價值目標的數據,並最終實現對網絡的完全接管。
GALLIUM 的此次攻擊和上述組織使用的某些域與Operation SoftCell 共享,這意味著包含APT10 , APT27 和APT40 在內的工具均可能成為整個行動的一部分。