Microsoft ha rivelato l’esistenza di un gruppo hacker denominato “Gallium” che sfrutta infrastrutture dedicate al malware che si trovano in Cina e Hong Kong per prendere di mira società di telecomunicazioni.
Secondo la descrizione di Microsoft, il gruppo è stato molto attivo dal 2018 a metà 2019, sfrutta strumenti a buon mercato usa e getta e non si preoccupa di nascondere le proprie tracce o intenzioni all’interno delle reti compromesse.
Microsoft riferisce che le azioni del gruppo non sembrano essere una minaccia permanente ma evidenzia che le loro tecniche rozze e veloci si sono rivelate efficaci.
Gli attacker scansionano internet alla ricerca di web server vulnerabili come ad esempio l’application server WildFly (precedentemente noto come JBoss AS o semplicemente JBoss), sfruttando exploit pubblicamente noti per portare a termine gli attacchi.
“Compromettere un web server permette a Gallium di mettere piede nella rete vittima, senza bisogno dell’interazione dell’utente come avviene tipicamente con i tradizionali meccanismi di phishing”, avvisa il Threat Intelligence Center (MSTIC). “Dopo avere sfruttato falle dei web server, i soggetti coinvolti nel team Gallium installano tipicamente web shell (script che offrono all’hacker il controllo remoto di una macchina), e poi installano tool aggiuntivi che consentono loro di esplorare la rete-target”.
ZDnet riferisce che gli hacker del team Galium hanno modificato strumenti a scopo di malware disponibili sul mercato al fine di schivare i rilevamenti dei sistemi antimalware. Tra gli strumenti modificati, HTRAN, Mimikatz, NBTScan, Netcat, PsExec, Windows Credential Editor e WinRAR. Mimikatz è sfruttato per ricavare credenziali all’interno di una rete. Il gruppo ha firmato molti strumenti sfruttando certificati di Code Signing rubati, normalmente usati per distribuire codici o contenuti su Internet o all’interno di reti aziendali.
Altro tool modificato è il Remote Access Tool (RAT) “Poison Ivy”, la variante di Gh0st RAT denominata QuarkBandit, la web shell China Chopper (tipicamente usata da cybercriminali cinesi), e la web shell IIS “BlackMould”. Altro strumento usato da Gallium è SoftEther VPN.
Microsoft riferisce che le azioni di questo gruppo sono da qualche mese in calo. La speranza dei ricercatori specializzati in sicurezza è che rendere noti metodi e strumenti sfruttati, incoraggi le aziende a implementare meccanismi di difesa.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.