PingPull البرامج الضارة

تشن مجموعة Gallim APT (التهديد المستمر المتقدم) حملة هجومية تستهدف المؤسسات المالية والهيئات الحكومية عبر عدة قارات. وبشكل أكثر تحديدًا ، تم استغلال هذه العملية الأخيرة لمجموعة الهاكرز التي ترعاها الصين على الأرجح ضد أهداف في روسيا وبلجيكا وفيتنام وكمبوديا وأستراليا والفلبين وماليزيا وأفغانستان. علاوة على ذلك ، وفقًا للباحثين في مجال الأمن السيبراني في الوحدة 42 التابعة لشبكة Palo Alto Network ، فقد نشر الفاعل تهديدًا جديدًا خفيًا بشكل خاص RAT (حصان طروادة للوصول عن بُعد) تم تتبعه باسم PingPull.

تم تصميم تهديد PingPull للتسلل إلى الأجهزة المستهدفة ثم إنشاء غلاف عكسي عليها. بعد ذلك ، سيكون لدى المهاجمين القدرة على تنفيذ الأوامر التعسفية عن بُعد. يكشف تقرير الوحدة 42 أنه تم تحديد ثلاثة أنواع منفصلة من PingPull. الفرق الرئيسي بينهما هو بروتوكول الاتصال المستخدم - ICMP أو HTTPS أو TCP. من المحتمل أن يختار قراصنة جاليوم المتغير الذي سيوفر لهم أفضل الفرص للتهرب من طرق الكشف عن الشبكة أو أدوات الأمان المحددة بناءً على المعلومات التي تم الحصول عليها مسبقًا حول الهدف.

توجد جميع المتغيرات الثلاثة على الأجهزة المخترقة كخدمة لها وصف يحاكي وصف خدمة مشروعة. الأوامر التي تتعرف عليها المتغيرات هي نفسها أيضًا. وهي تتراوح من معالجة نظام الملفات ، وتشغيل الأوامر عبر cmd.exe ، وتعداد وحدات التخزين ، والقدرة على تخزين الملفات ، وإرسال البيانات إلى خادم الأوامر والتحكم (C2 ، C&C) للعملية. يتم تشفير حركة المرور الواردة من C2 باستخدام خوارزمية تشفير AES. لفك تشفير الأوامر ومعلماتها ، تحتوي المنارة على زوج من المفاتيح المشفرة.