Posté le décembre 13, 2019 à 20:32
MICROSOFT AVERTIT QU’UN GROUPE DE HACKERS TENTE DE S’INFILTRER DANS LES SERVEURS WEB VULNÉRABLES
Microsoft a révélé qu’un groupe de hackers connu sous le nom de Gallium utilise des logiciels malveillants pour cibler les entreprises de télécommunications. Selon le géant de la technologie, le groupe de hackers est en activité depuis l’année dernière, mais ses activités sont devenues moins sévères ces derniers mois. Microsoft a déclaré que le groupe utilise des outils jetables et bon marché pour compromettre un réseau.
Il ajoute que ce groupe de hackers n’a aucune sorte de couverture pour cacher ses activités. Ils s’infiltrent dans un réseau sans se soucier de savoir s’ils se feraient remarquer ou prendre.
Cependant, Microsoft ne sait pas s’ils utilisent des techniques de menace avancées, mais leurs récentes tactiques brutes et sales ont été efficaces jusqu’à présent.
Les hackers recherchent des serveurs web vulnérables et d’autres serveurs connectés à Internet, tels que JBoss. Lorsqu’ils trouvent leur hôte, ils se servent des menaces de piratage informatique courantes pour infiltrer ces réseaux. Microsoft a réitéré que les attaquants recherchent toujours des réseaux compromis qu’ils peuvent facilement attaquer. Lorsqu’ils trouvent ces serveurs ou réseaux, ils lancent leur attaque avec d’autres méthodes traditionnelles. Microsoft a fait remarquer que ces hackers n’utilisent pas l’hameçonnage. Selon l’unité de renseignements sur les menaces de Microsoft , Gallium installe des interpréteurs de commandes Web avant d’utiliser des outils pour leur permettre d’explorer et d’infiltrer leurs cibles.
La société a noté que le hacker Gallium ne modifie pas vraiment ses outils malveillants pour fournir des fonctionnalités personnalisées. Ils modifient plutôt ces matériels afin d’éviter d’être détectés par les anti-virus.
Le groupe de hackers utilise plusieurs outils tels que WinRAR, Windows Credential Editor, PsExec, Netcat, NBTScan, Mimikata et HTRAN. L’outil Mimikatz est utilisé pour voler les identifiants et les données du serveur lorsque le logiciel malveillant s’est infiltré sur les serveurs de l’entreprise, explique Microsoft. Le groupe a en fait modifié différentes versions des outils et ils ont établi ces outils avec des certificats de signature de code volés.
De plus, le groupe utilise le shell IIS BlackMoud, le shell web China Chopper, QuarkBandt, ainsi que l’outil d’accès à distance Ivy pour accéder aux réseaux vulnérables.
Encore une fois, Gallium utilise également un autre outil connu sous le nom de SoftEther VPN, qui permet aux hackers de pirater le réseau.
L’activité du groupe a récemment régressé
Microsoft a également déclaré que les activités du groupe ont considérablement diminué ces derniers mois. Le géant de la technologie espère qu’en révélant les activités du groupe, il aidera les autres à détecter leurs activités sur leur réseau à temps.
Attaque similaire signalée en avril
Microsoft a signalé qu’une attaque similaire sur des serveurs vulnérables s’était produite plus tôt en avril de l’année. Toutefois, la société a déclaré que Gallium n’était pas responsable de cette attaque. L’attaque visait un décodeur vidéo, une imprimante et un téléphone VOIP.
Microsoft a déclaré que l’attaque a été utilisée contre un grand nombre d’emplacements, avec les appareils comme points d’accès à ces serveurs vulnérables. Cette fois-ci, l’attaque a été menée par un groupe russe connu sous le nom de Stronium. Microsoft dit que ces hackers travaillent cette fois-ci sous les directives du gouvernement russe.
Les activités des hackers prennent de l’ampleur de jour en jour
Microsoft a déclaré que rien que l’année dernière, il a enregistré environ 1400 notifications d’attaques. Environ 20 % de ces attaques sont le fait d’organisations politiques et non gouvernementales. Les attaques restantes se sont concentrées sur les entreprises d’Etat sponsorisées qui se concentrent sur l’ingénierie, la médecine, la technologie et la défense.
Microsoft avertit les propriétaires de serveurs d’être en alerte parce que les attaquants actuels ne laissent rien derrière eux dans leur quête pour infiltrer les serveurs.
L’entreprise a réitéré que l’attaque s’est considérablement atténuée, mais qu’il reste encore quelques mesures à prendre pour éviter des attaques à l’avenir à propos de ce type d’attaque.