Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page GALLIUM атаковала крупные телекоммуникационные компании по всему миру

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 05-03-2025, 11:28 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Злоумышленники эксплуатируют уязвимости в сервере приложений с открытым исходным кодом WildFly.

Команда исследователей из Microsoft Threat Intelligence Center (MSTIC) https://www.microsoft.com/security/b...lobal-telecom/о продолжающихся атаках киберпреступной группировки GALLIUM, направленных на телекоммуникационных провайдеров в Юго-Восточной Азии, Европе и Африке. Злоумышленники эксплуатируют уязвимости в сервере приложений с открытым исходным кодом WildFly (ранее JBoss Application Server).
Проникнув в сеть компании, преступники начинают собирать учетные данные с использованием распространенных инструментов и TTP (тактик, методов и процедур). Они используют скомпрометированные учетные данные и утилиту PsExec для перемещения в сети и выполнения процессов на других системах.
«Операторы полагаются на дешевую и легко заменяемую инфраструктуру, которая состоит из DNS-доменов и повторно используемых точек перехода», — пояснили исследователи.
В числе инструментов GALLIUM, выявленных экспертами во время прошлых кампаний, есть HTRAN (перенаправление пакетов), Mimikatz и Windows Credential Editor (восстановление токенов авторизации), NBTScan (для обнаружения DNS-серверов NETBIOS в локальной или удаленной сети), Netcat (чтение и запись с использованием TCP- или UDP-протоколов), PsExec (удаленное выполнение команд на системе), а также WinRAR.
С помощью web-оболочек преступники обеспечивают персистентность на целевой системе и загружают полезную нагрузку.
В дополнение к бэкдору China Chopper, группировка использует созданный на его основе web-шелл BlackMould для различных целей и задач, включая поиск локальных дисков, выполнение основных файловых операций, настройку атрибутов файла, эксфильтрацию и удаление файлов, а также выполнение вредоносных команд на скомпрометированных устройствах.
В рамках второго этапа группировка загружает модифицированные версии вредоносов Gh0st RAT и Poison Ivy, разработанные для предотвращения обнаружения.
Как отметили специалисты, вместо разработки собственных вредоносных программ, GALLIUM изменяла чужие инструменты для повышения эффективности атак.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 07:37 PM.

Contact Us - Carder.life - Archive - Top