El grupo de amenazas más nuevo en el radar de Microsoft



El grupo de piratería ha estado apuntando a proveedores de telecomunicaciones.

Editar: Esta historia se actualizó para reflejar los hallazgos de Cybereason, que informó sobre este APT en su informe Operation Comfortable Cell en junio de 2019.

Microsoft publicó hoy un informe que detalla la actividad de un nuevo grupo de amenazas que denominó Galio de acuerdo con la práctica interna de la compañía de asignar elementos químicos a grupos de ataque.

Este grupo de ataque fue previamente detectado e informado por investigadores de Cybereason, quienes llamaron a la amenaza Operación Comfortable Cell en junio redacción de sus hallazgos. En 2018, los investigadores identificaron un ataque avanzado y persistente dirigido a proveedores de telecomunicaciones y utilizando técnicas asociadas con actores de amenazas afiliados a China. Los investigadores informan que los atacantes, que se cree que están activos desde 2012, intentaban robar datos almacenados en Lively Directory, comprometer las credenciales y acceder a información de identificación individual, datos de facturación, registros de llamadas, servidores de correo electrónico y geolocalizaciones de los usuarios.

La mayor parte de la actividad de Gallium, que se centró principalmente en los proveedores de telecomunicaciones, se observó a lo largo de 2018 hasta mediados de 2019, informaron hoy investigadores del Centro de Inteligencia de Amenazas de Microsoft (MSTIC). Si bien el grupo sigue siendo una amenaza activa, dicen, sus niveles de actividad han disminuido en comparación con lo que vieron anteriormente en su investigación.

Para obtener acceso a una crimson objetivo, Gallium detecta y explota los servicios orientados a Net. El grupo ha sido visto explotando servicios website no parcheados por ejemplo, WildFly / JBoss, para los cuales los exploits son ampliamente accesibles. Si bien a menudo es difícil determinar los métodos de reconocimiento de un grupo, MSTIC dice que la focalización de Gallium en los servicios orientados a World-wide-web es una señal de que el grupo usa herramientas de investigación de código abierto y escaneo de redes para identificar sus nuevos objetivos.

«Las investigaciones de MSTIC indican que Gallium modifica sus herramientas en la medida en que evade la detección de antimalware en lugar de desarrollar una funcionalidad personalizada», escriben los investigadores en un entrada en el web site. «Este comportamiento se ha observado con galio en varias áreas operativas».

Las herramientas de uso común de Gallium incluyen Mimikatz, NBTScan, Netcat, WinRAR y Windows Credential Editor. El grupo se basa principalmente en credenciales de dominio comprometidas para moverse por una crimson Una vez que tienen credenciales, los atacantes usan PsExec para moverse de un host a otro.

Los investigadores señalan que Gallium hace poco para ocultar su intención y a menudo united states of america versiones comunes de malware y kits de herramientas disponibles públicamente con ligeras modificaciones. El grupo ha utilizado Poison Ivy RAT, que es ampliamente accesible, y QuarkBandit, una versión alterada de Gh0st RAT. Poison Ivy RAT, Gh0st RAT y China Chopper Net shell son la base de su package de herramientas.

Gallium united states principalmente subdominios DNS dinámicos para su infraestructura C2. El análisis muestra que el grupo tiende a favorecer las operaciones de bajo costo y bajo esfuerzo, como lo indica su uso de proveedores de DNS dinámicos en lugar de dominios registrados. Sus dominios se han visto alojados en infraestructura en China continental, la RAE de Hong Kong y Taiwán. Las direcciones IP observadas parecen ser exclusivas de este grupo, tienen una actividad mínima o ninguna actividad legítima y se utilizan en varias operaciones.

Sigue el malware

Gallium utiliza principalmente shells world-wide-web para crear persistencia en una crimson de destino, y este acceso se utiliza para entregar malware posterior. Los atacantes también usan un shell web nativo para servidores que ejecutan Microsoft IIS basado en China Chopper. MSTIC lo llama «BlackMould». En un host de destino, BlackMould puede enumerar dispositivos locales, realizar operaciones básicas de archivo (buscar, leer, escribir, eliminar, copiar), establecer atributos de archivo, filtrar e infiltrar archivos y ejecutar un símbolo del sistema con parámetros.

Cuando los atacantes han implementado Gh0st RAT o Poison Ivy RAT, han alterado el método de comunicación del malware en un esfuerzo por evitar la detección mediante firmas antimalware. Además de estas familias de malware, se ha visto que Gallium utiliza SoftEther VPN para permitir el acceso y mantener la persistencia en una crimson objetivo. Esta táctica también tiene el beneficio adicional de que la actividad de Gallium parece inofensiva a medida que el grupo se mueve en un entorno corporativo.

Los investigadores enumeran varias defensas que los equipos de seguridad pueden adoptar para disminuir la amenaza de un ataque de galio. Entre estos están:

  • Mantener parches del servidor internet y registrar auditorías
  • Ejecute servicios world wide web con los permisos mínimos necesarios del sistema operativo
  • Instale rápidamente actualizaciones de seguridad en todas las aplicaciones y sistemas operativos.
  • Emplear detección de comportamiento para detectar el vertido de credenciales u otra actividad sospechosa

Contenido relacionado:

Kelly Sheridan es la Editora de private de Dim Looking at, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance policy & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Más tips





Enlace a la noticia initial