PingPull ম্যালওয়্যার

গ্যালিম এপিটি (অ্যাডভান্সড পারসিস্টেন্ট থ্রেট) গ্রুপ বিভিন্ন মহাদেশ জুড়ে আর্থিক প্রতিষ্ঠান এবং সরকারী সংস্থাগুলিকে লক্ষ্য করে একটি আক্রমণ প্রচার চালাচ্ছে। আরও নির্দিষ্টভাবে, সম্ভাব্য চীনা-স্পন্সরড হ্যাকার গ্রুপের এই সর্বশেষ অপারেশনটি রাশিয়া, বেলজিয়াম, ভিয়েতনাম, কম্বোডিয়া, অস্ট্রেলিয়া, ফিলিপাইন, মালয়েশিয়া এবং আফগানিস্তানের লক্ষ্যবস্তুর বিরুদ্ধে ব্যবহার করা হয়েছে। অধিকন্তু, পালো অল্টো নেটওয়ার্কের ইউনিট 42-এর সাইবার নিরাপত্তা গবেষকদের মতে, হুমকি অভিনেতা 'পিংপুল' হিসাবে ট্র্যাক করা একটি নতুন বিশেষত স্টিলথি RAT (রিমোট অ্যাক্সেস ট্রোজান) মোতায়েন করেছেন।

PingPull হুমকিটি লক্ষ্যযুক্ত ডিভাইসগুলিতে অনুপ্রবেশ করার জন্য এবং তারপরে তাদের উপর একটি বিপরীত শেল তৈরি করার জন্য ডিজাইন করা হয়েছে। পরবর্তীতে, আক্রমণকারীদের দূরবর্তীভাবে নির্বিচারে আদেশ কার্যকর করার ক্ষমতা থাকবে। ইউনিট 42-এর রিপোর্ট প্রকাশ করে যে পিংপুলের তিনটি পৃথক রূপ চিহ্নিত করা হয়েছে। তাদের মধ্যে প্রধান পার্থক্য হল ব্যবহৃত যোগাযোগ প্রোটোকল - ICMP, HTTPS বা TCP। সম্ভবত গ্যালিয়াম হ্যাকাররা এমন একটি বৈকল্পিক বাছাই করে যা তাদের লক্ষ্য সম্পর্কে পূর্বে অর্জিত তথ্যের উপর ভিত্তি করে নির্দিষ্ট নেটওয়ার্ক সনাক্তকরণ পদ্ধতি বা সুরক্ষা সরঞ্জামগুলি এড়াতে সর্বোত্তম সুযোগ প্রদান করবে।

তিনটি রূপই অনুপ্রবেশকারী মেশিনে একটি পরিষেবা হিসাবে বিদ্যমান যার একটি বর্ণনা রয়েছে যা একটি বৈধ পরিষেবার অনুকরণ করে৷ ভেরিয়েন্ট দ্বারা স্বীকৃত কমান্ডগুলিও একই। এগুলোর মধ্যে রয়েছে ফাইল সিস্টেম ম্যানিপুলেট করা, cmd.exe এর মাধ্যমে কমান্ড চালানো, স্টোরেজ ভলিউম গণনা করা, ফাইল টাইমস্টপ করার ক্ষমতা এবং অপারেশনের কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারে ডেটা পাঠানো। C2 থেকে আগত ট্র্যাফিক AES ক্রিপ্টোগ্রাফিক অ্যালগরিদম দিয়ে এনক্রিপ্ট করা হয়। কমান্ড এবং তাদের প্যারামিটারগুলি ডিক্রিপ্ট করতে, বীকনে এক জোড়া হার্ডকোড কী রয়েছে।