GALLIUM

APT / EstatalG0093
OrigemChina
Técnicas (MITRE ATT&CK)31
FonteMITRE ATT&CK
Também conhecido como:Granite Typhoon

Análise Vexday

Grupo de ciberespionagem de origem chinesa, ativo desde pelo menos 2012, o GALLIUM (também rastreado como Granite Typhoon, identificador MITRE ATT&CK G0093) tem como alvos principais empresas de telecomunicações, instituições financeiras e entidades governamentais em países como Afeganistão, Austrália, Bélgica, Camboja, Malásia, Moçambique, Filipinas, Rússia e Vietnã. O grupo é especialmente associado à Operação Soft Cell, uma campanha de longa duração direcionada a provedores de telecomunicações. Pesquisadores de segurança o classificam como um provável grupo patrocinado pelo Estado chinês, com base nas ferramentas e nas TTPs empregadas, características comuns a agentes de ameaça desse país. Seu perfil técnico compreende 31 técnicas documentadas no MITRE ATT&CK e 2 CVEs atribuídas ao grupo.

Técnicas (MITRE ATT&CK) 31

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Preparação de recursos
ServerTool
Acesso inicial
Exploit Public-Facing Application
Execução
Windows Management InstrumentationScheduled TaskPowerShellWindows Command Shell
Persistência
External Remote ServicesDomain AccountWeb Shell
Acesso a credenciais
LSASS MemorySecurity Account Manager
Descoberta
System Network Configuration DiscoveryRemote System DiscoverySystem Owner/User DiscoverySystem Network Connections Discovery
Movimento lateral
Pass the HashLateral Tool Transfer
Coleta
Data from Local SystemLocal Data StagingArchive via Utility
Comando e controle
External ProxyIngress Tool Transfer
Exfiltração
Exfiltration Over C2 Channel
defense-impairment
Code Signing
stealth
Obfuscated Files or InformationSoftware PackingIndicator Removal from ToolsRename Legitimate UtilitiesValid AccountsDLL

Vulnerabilidades exploradas 2

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2016-6662EPSS 68%

O grupo GALLIUM usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →