 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
20 апреля, суббота, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Группировка GALLIUM использует проверенные методы, чтобы похищать ценные пользовательские данные.
Эксперты Microsoft Threat Intelligence Center рассказали о серии кибератак, направленных против телекоммуникационных компаний. Хакерская группировка, получившая название GALLIUM, использует уязвимости веб-сервисов, чтобы проникнуть в сеть и добраться до клиентских данных, биллинговой информации, журналов звонков.
По данным СМИ, первыми об этих атаках еще в июне сообщили исследователи Cybereason — в 2018 году они обнаружили кампанию Operation Soft Cell, которая затронула 10 крупных сотовых операторов и сотни тысяч их клиентов. Как установили эксперты, вредоносная активность идет с 2012 года, а к организации целевых атак предположительно причастны китайские киберпреступники, действующие под прикрытием правительства.
В отчете Microsoft операция Soft Cell не упоминается, однако обе кампании обладают схожими характерными особенностями. Для первичного проникновения злоумышленники используют распространенные эксплойты к веб-сервисам наподобие WildFly (ранее JBoss). Далее они берут инфраструктуру под контроль с помощью нескольких слегка переработанных легитимных утилит и выкачивают конфиденциальные данные.
Эксперты полагают, что злоумышленники не готовы слишком много инвестировать в инфраструктуру и тратить ресурсы на создание собственных вредоносных средств. Они используют готовые решения с небольшими изменениями, которые привносятся для минимальной маскировки от антивирусных систем, и подписывают их крадеными сертификатами разработчика. Управляющие серверы размещены на динамических DNS-субдоменах, расположенных в Китае, Гонконге и на Тайване.
Применение эксплойтов избавляет GALLIUM от необходимости взаимодействовать с пользователями целевой организации. Вспомогательные утилиты группировка доставляет через веб-оболочку. Эти программы позволяют провести разведку внутри инфраструктуры, собрать пользовательские логины и пароли. Конечной целью является любая персональная информация, включая журналы звонков, биллинговые и геолокационные данные клиентов.
Аналитики насчитали в арсенале GALLIUM семь основных утилит, позволяющих устанавливать прокси-соединения, открывать на машинах командную строку, искать серверы в локальной и удаленной сети. В некоторых случаях взломщики разворачивали в инфраструктуре VPN-программу SoftEther, обеспечивая себе надежное присутствие в корпоративной сети и возможность скрывать подозрительный трафик.
Из зловредного ПО преступники используют модификации давно известных программ удаленного администрирования Gh0st и Poison Ivy. В обоих случаях злоумышленники изменили метод коммуникации, чтобы не вызывать срабатывание защитных систем.
Кроме того, группировка доработала веб-оболочку China Chopper, которую эксперты нередко замечают в кампаниях китайских киберпреступников. Обновленный вариант утилиты, получивший название BlackMould («черная плесень»), умеет работать с локальными жесткими дисками, проводить базовые операции с данными, выгружать и скачивать файлы, запускать командную строку с заданными параметрами. Для управления оболочкой используются HTTP-запросы POST.
Основная часть обнаруженных Microsoft инцидентов приходится на период с начала 2018 года по середину 2019-го. Судя по всему, активность GALLIUM идет на спад, однако аналитики не спешат говорить о полном прекращении деятельности этой группировки.
Чтобы защититься от возможных атак, организациям следует вовремя обновлять используемые веб-сервисы и по возможности запускать их с минимальным набором привилегий. Кроме того, исследователи рекомендуют регулярно проверять журналы сетевой активности и настроить защитные системы на обнаружение попыток вывода учетных данных.
Эксперты подчеркивают, что телекоммуникационные компании представляют собой привлекательную цель для преступников, поскольку они собирают много ценной информации как о частных пользователях, так и об организациях. Ранее исследователи выяснили, что именно эта отрасль больше всего страдает от предустановленных на Android-устройствах зловредов — во II квартале 2019 года с подобными атаками столкнулись около 30% телеком-провайдеров. Среди образовательных организаций, которые оказались на втором месте в этом рейтинге, доля атакованных сетей составила 5%.
 |
нравится | не нравится |  |
Рейтинг: | 1 |
Всего голосов: 1 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
