Pubblicato il: 16-12-2019

Microsoft ha rivelato l’esistenza di un gruppo hacker denominato “Gallium” che sfrutta infrastrutture dedicate al malware che si trovano in Cina e Hong Kong per prendere di mira società di telecomunicazioni.

Secondo la descrizione di Microsoft, il gruppo è stato molto attivo dal 2018 a metà 2019, sfrutta strumenti a buon mercato usa e getta e non si preoccupa di nascondere le proprie tracce o intenzioni all’interno delle reti compromesse.

Microsoft riferisce che le azioni del gruppo non sembrano essere una minaccia permanente ma evidenzia che le loro tecniche rozze e veloci si sono rivelate efficaci.

Gli attacker scansionano internet alla ricerca di web server vulnerabili come ad esempio l’application server WildFly (precedentemente noto come JBoss AS o semplicemente JBoss), sfruttando exploit pubblicamente noti per portare a termine gli attacchi.

“Compromettere un web server permette a Gallium di mettere piede nella rete vittima, senza bisogno dell’interazione dell’utente come avviene tipicamente con i tradizionali meccanismi di phishing”, avvisa il Threat Intelligence Center (MSTIC). “Dopo avere sfruttato falle dei web server, i soggetti coinvolti nel team Gallium installano tipicamente web shell (script che offrono all’hacker il controllo remoto di una macchina), e poi installano tool aggiuntivi che consentono loro di esplorare la rete-target”.

ZDnet riferisce che gli hacker del team Galium hanno modificato strumenti a scopo di malware disponibili sul mercato al fine di schivare i rilevamenti dei sistemi antimalware. Tra gli strumenti modificati, HTRAN, Mimikatz, NBTScan, Netcat, PsExec, Windows Credential Editor e WinRAR. Mimikatz è sfruttato per ricavare credenziali all’interno di una rete. Il gruppo ha firmato molti strumenti sfruttando certificati di Code Signing rubati, normalmente usati  per distribuire codici o contenuti su Internet o all’interno di reti aziendali.

Altro tool modificato è il Remote Access Tool (RAT) “Poison Ivy”, la variante di Gh0st RAT denominata QuarkBandit, la web shell  China Chopper (tipicamente usata da cybercriminali cinesi), e la web shell IIS “BlackMould”. Altro strumento usato da Gallium è  SoftEther VPN.

Microsoft riferisce che le azioni di questo gruppo sono da qualche mese in calo. La speranza dei ricercatori specializzati in sicurezza è che rendere noti metodi e strumenti sfruttati, incoraggi le aziende a implementare meccanismi di difesa.

| Articolo Originale |