Зловреден софтуер PingPull

Групата Gallim APT (Advanced Persistent Threat) провежда кампания за атака, насочена към финансови институции и държавни организации на няколко континента. По-конкретно, тази последна операция на вероятно спонсорирана от Китай хакерска група е била използвана срещу цели в Русия, Белгия, Виетнам, Камбоджа, Австралия, Филипините, Малайзия и Афганистан. Освен това, според изследователите по киберсигурност в Unit42 на Palo Alto Network, заплахата е разположила нов, особено скрит RAT (троянски кон за отдалечен достъп), проследяван като „PingPull“.

Заплахата PingPull е предназначена да проникне в целевите устройства и след това да създаде обратна обвивка върху тях. След това нападателите ще имат възможността да изпълняват дистанционно произволни команди. Докладът на Unit42 разкрива, че са идентифицирани три отделни варианта на PingPull. Основната разлика между тях е използвания комуникационен протокол - ICMP, HTTPS или TCP. Вероятно хакерите на Gallium изберат варианта, който ще им осигури най-добри шансове да избегнат специфични методи за откриване на мрежа или инструменти за сигурност въз основа на предварително придобита информация за целта.

И трите варианта съществуват на инфилтрираните машини като услуга, която има описание, имитиращо това на легитимна услуга. Командите, разпознати от вариантите, също са същите. Те варират от манипулиране на файловата система, изпълнение на команди чрез cmd.exe, изброяване на обемите за съхранение, възможност за спиране на файловете във времето и изпращане на данни до сървъра за командване и управление (C2, C&C) на операцията. Входящият трафик от C2 се криптира с криптографския алгоритъм на AES. За да декриптира командите и техните параметри, маякът има чифт твърдо кодирани ключове.