fbpx
Home News "Gallium" è un gruppo di hacker cinesi che prende di mira web...

“Gallium” è un gruppo di hacker cinesi che prende di mira web server sparsi nel mondo

Microsoft ha rivelato l’esistenza di un gruppo hacker denominato “Gallium” che sfrutta infrastrutture dedicate al malware che si trovano in Cina e Hong Kong per prendere di mira società di telecomunicazioni.

Secondo la descrizione di Microsoft, il gruppo è stato molto attivo dal 2018 a metà 2019, sfrutta strumenti a buon mercato usa e getta e non si preoccupa di nascondere le proprie tracce o intenzioni all’interno delle reti compromesse.

Microsoft riferisce che le azioni del gruppo non sembrano essere una minaccia permanente ma evidenzia che le loro tecniche rozze e veloci si sono rivelate efficaci.

Gli attacker scansionano internet alla ricerca di web server vulnerabili come ad esempio l’application server WildFly (precedentemente noto come JBoss AS o semplicemente JBoss), sfruttando exploit pubblicamente noti per portare a termine gli attacchi.

“Gallium” è un gruppo di hacker cinesi che prende di mira web server sparsi nel mondo

“Compromettere un web server permette a Gallium di mettere piede nella rete vittima, senza bisogno dell’interazione dell’utente come avviene tipicamente con i tradizionali meccanismi di phishing”, avvisa il Threat Intelligence Center (MSTIC). “Dopo avere sfruttato falle dei web server, i soggetti coinvolti nel team Gallium installano tipicamente web shell (script che offrono all’hacker il controllo remoto di una macchina), e poi installano tool aggiuntivi che consentono loro di esplorare la rete-target”.

ZDnet riferisce che gli hacker del team Galium hanno modificato strumenti a scopo di malware disponibili sul mercato al fine di schivare i rilevamenti dei sistemi antimalware. Tra gli strumenti modificati, HTRAN, Mimikatz, NBTScan, Netcat, PsExec, Windows Credential Editor e WinRAR. Mimikatz è sfruttato per ricavare credenziali all’interno di una rete. Il gruppo ha firmato molti strumenti sfruttando certificati di Code Signing rubati, normalmente usati  per distribuire codici o contenuti su Internet o all’interno di reti aziendali.

Altro tool modificato è il Remote Access Tool (RAT) “Poison Ivy”, la variante di Gh0st RAT denominata QuarkBandit, la web shell  China Chopper (tipicamente usata da cybercriminali cinesi), e la web shell IIS “BlackMould”. Altro strumento usato da Gallium è  SoftEther VPN.

Microsoft riferisce che le azioni di questo gruppo sono da qualche mese in calo. La speranza dei ricercatori specializzati in sicurezza è che rendere noti metodi e strumenti sfruttati, incoraggi le aziende a implementare meccanismi di difesa.

Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.

Offerte Speciali

Pubblicità
Pubblicità

Seguici e aggiungi un Like:

64,969FansMi piace
93,790FollowerSegui