微软专家指出：GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。

“目前微软威胁情报中心（MSTIC）在对GALLIUM黑客组织行为逐步了解中发现，其目标是电信供应商，为了破坏其目标 *** ，GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的 *** 服务进行攻击。”

GALLIUM 的行为表现活跃，尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标 *** ，他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。

专家指出，目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具，这工具只需稍作改动，就可以逃避检测。运营商利用低成本和易于替换的基础设施，使用动态DNS域和定期重用的跃点。

MSTIC分析指出：使用动态DNS提供商而不是符合条件的注册域名，GALLIUM的低成本、低投入成为运营趋势。

在中国大陆、中国香港和中国台湾的基础设施中，且已观察到GALLIUM基础设施建设。

威胁行为很大程度上依赖于 *** shell，通过此shell获得持久 *** 稳定，然后进行恶意软件传输。在这个阶段中，恶意软件的有效负载将会被舍弃，且不会通过稳定 *** 进行程序安装。

除了标准的 China Chopper外，该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器，并进行基本的文件操作如查找、读取、写入、删除和复制，设置文件属性，渗透文件，并使用参数运行cmd.exe。

该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本，这两个版本都会修改软件使用通信 *** 。黑客还将QuarkBandit作为第二级恶意软件，专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前，研究人员还通过观察发现 GALLIUM使用VPN来进行 *** 持久的访问。

针对此问题，微软在报告中还公布了一份IOC指标列表。

消息来源：SecurityAffairs， 译者：dengdeng，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接