<cite id="j15rf"></cite>
<var id="j15rf"><strike id="j15rf"></strike></var>
<cite id="j15rf"><span id="j15rf"></span></cite><var id="j15rf"><video id="j15rf"></video></var>
<cite id="j15rf"><span id="j15rf"></span></cite>
<cite id="j15rf"><video id="j15rf"></video></cite>
<var id="j15rf"><video id="j15rf"><thead id="j15rf"></thead></video></var>
<menuitem id="j15rf"></menuitem>
<cite id="j15rf"></cite>
<cite id="j15rf"><video id="j15rf"></video></cite>
<var id="j15rf"><video id="j15rf"></video></var>
<var id="j15rf"></var>
<var id="j15rf"></var>
<cite id="j15rf"></cite>
<var id="j15rf"></var>

微軟發出警告:一波大規模黑客攻擊來襲 電信運營商需警惕

原標題:微軟發出警告:一波大規模黑客攻擊來襲 電信運營商需警惕 來源:雷鋒網

Microsoft 威脅情報中心( MSTIC )12月12日發布警報稱,電信提供商正面臨著一次大規模的持續黑客攻擊行動,并由Microsoft追蹤為 GALLIUM 的威脅組織進行操作。一個 MSTIC 分析師透露,該組織在從東南亞、歐洲和非洲同時進行多個攻擊行動,該黑客組織利用未修補的漏洞來破壞運行 WildFly / JBoss 應用程序服務器的網絡端公開系統。

GALLIUM的滲透攻擊計劃

按照黑客組織的計劃,攻擊的第一步是通過公開網絡進行滲透。

一旦成功,該組織就開始使用通用的工具和 ttp (戰術、技術和過程)來收集憑證,并將受損的域憑據和 PsExec telnet 替換,以通過這些工具實現在網絡中的無障礙移動。

這次的攻擊行為,黑客組織并沒有利用某種手段試圖混淆運營商的感知,他們更多是公開地向網絡系統植入一些功能普通的惡意軟件并公開一些普通版本的工具包。

MSTIC 分析師稱,運營商的各種業務依賴于低成本執行,其特點在于異域更換的基礎架構為整個系統創建了這樣的環境,通常情況下該基礎架構會由動態 DNS 域和定期重用的跳點組成。

黑客組織的攻擊方式,是首先滲透整個架構系統再實現橫向移動。他們直接利用了這些被修改過的工具,以在需要隱秘方法的操作過程中規避一些惡意軟件的檢測機制。

下表中列出了 Microsoft 已經發現的一些被GALLIUM使用的工具:

GALLIUM 依靠 Web Shell (以 asp 、 php 、 jsp 或者 cgi 等網頁文件形式存在的一種命令執行環境)達到長期活躍在目標網路的目的,并在第二階段確保惡意軟件的投放是有效的。

攻擊者可以使用此工具進行多種目的和任務,包括枚舉本地驅動器、執行基本文件操作、設置文件屬性、提取和刪除文件以及在受感染設備上運行惡意命令。

第二階段,該小組部署了定制的 Gh0st RAT 和 Poison Ivy 惡意軟件有效載荷,目的是逃避對其受害者系統的檢測。

下表為 GALLIUM 觀察到的攻擊中使用的第二階段惡意軟件的完整列表:

和多數黑客攻擊手段不同的是, GALLIUM 并沒有專注于開發具備突破安全防護特性的惡意軟件。

他們通過在內部系統上安裝 SoftEther ,可以通過該系統進行連接,以達到篡改網絡中已有的工具實現規避惡意程序檢測的目的,這為正式發起攻擊做好了鋪墊。

持續性高級威脅

2018年,以色列網絡安全公司 Cybereason Nocturnus 便發現了一起針對全球電信提供商的高級持續攻擊,攻擊者使用常用工具和技術(例如 APT10 )進行攻擊。

這種多點攻擊的重點是獲取特定的高價值目標的數據,并最終實現對網絡的完全接管。

GALLIUM 的此次攻擊和上述組織使用的某些域與 Operation SoftCell 共享,這意味著包含 APT10 , APT27 和 APT40 在內的工具均可能成為整個行動的一部分。


白癜風癥狀危害 http://88995799.com/news/zzwh

上一篇:

下一篇:

足彩微信群二维码