微软警告 GALLIUM 黑客组织瞄准全球电信供应商

微软专家指出:GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心(MSTIC)在对GALLIUM黑客组织行为逐步了解中发现,其目标是电信供应商,为了破坏其目标网络,GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃,尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络,他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出,目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具,这工具只需稍作改动,就可以逃避检测。运营商利用低成本和易于替换的基础设施,使用动态DNS域和定期重用的跃点。 MSTIC分析指出:使用动态DNS提供商而不是符合条件的注册域名,GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中,且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell,通过此shell获得持久网络稳定,然后进行恶意软件传输。在这个阶段中,恶意软件的有效负载将会被舍弃,且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外,该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器,并进行基本的文件操作如查找、读取、写入、删除和复制,设置文件属性,渗透文件,并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本,这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件,专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前,研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题,微软在报告中还公布了一份IOC指标列表。   消息来源:SecurityAffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2019 年 Q3 逾 12000 名谷歌用户受政府黑客攻击

据谷歌威胁分析小组(TAG)报道显示:超过90%的目标用户受到“钓鱼邮件”的攻击。这些数据源于 TAG 追踪黑客组织而得出的结论,这些黑客组织通过向立场不同的政客、记者、人权学家发送邮件,来进行情报收集、知识产权窃取、破坏性网络攻击以及传播虚假信息等一系列行为。 谷歌公司表示,2019年7月至9月间发送的高风险用户安全警告与2018年和2017年同期相比浮动范围均在10%以内。 我们鼓励记者、人权学家和政客等高风险用户加入我们的高级保护计划(APP),该计划通过硬件安全密钥,可为防范网络钓鱼和帐户劫持提供最有力的保护。该程序是专门为高风险账户设计的,”谷歌说。 据谷歌共享的地图显示,钓鱼攻击警告虽然已被发送到149个国家受影响的用户手中,但美国、巴基斯坦、韩国和越南是仍受攻击最严重的国家。 自2012年来,一旦发现有黑客通过网络钓鱼、恶意软件等形式攻击用户时,谷歌便会向用户发出安全警报。 就在去年,谷歌开始向 G Suite 管理员提供安全警报,以便他们能更好向用户保护采取行动。 针对安全警报问题,谷歌公司建议当目标用户收到邮件时,不必惊慌,这并不一定意味着你的谷歌账户已经被泄露,这意味着黑客试图通过一些恶意手段访问你的谷歌账户,你应及时采取一些措施如保持其应用程序和软件的最新状态并启用两步验证保护个人账户信息。     消息来源:TheHackerNews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接