Programari maliciós PingPull

El grup Gallim APT (Advanced Persistent Threat) ha realitzat una campanya d'atac dirigida a institucions financeres i entitats governamentals de diversos continents. Més concretament, aquesta darrera operació del probable grup de pirates informàtics patrocinat per la Xina s'ha aprofitat contra objectius a Rússia, Bèlgica, Vietnam, Cambodja, Austràlia, Filipines, Malàisia i Afganistan. A més, segons els investigadors de ciberseguretat de la Unitat42 de Palo Alto Network, l'actor de l'amenaça ha desplegat un nou RAT (troià d'accés remot) especialment sigilós rastrejat com a "PingPull".

L'amenaça PingPull està dissenyada per infiltrar-se en els dispositius objectiu i crear-hi un shell invers. Després, els atacants tindran la capacitat d'executar ordres arbitràries de forma remota. L'informe de Unit42 revela que s'han identificat tres variants separades de PingPull. La principal diferència entre ells és el protocol de comunicació utilitzat: ICMP, HTTPS o TCP. És probable que els pirates informàtics de Gallium triin la variant que els proporcionarà les millors possibilitats d'evadir mètodes específics de detecció de xarxa o eines de seguretat basades en la informació prèviament adquirida sobre l'objectiu.

Les tres variants existeixen a les màquines infiltrades com a servei que té una descripció que imita la d'un servei legítim. Les ordres reconegudes per les variants també són les mateixes. Van des de la manipulació del sistema de fitxers, l'execució d'ordres mitjançant cmd.exe, l'enumeració dels volums d'emmagatzematge, la possibilitat d'aturar els fitxers de temps i l'enviament de dades al servidor d'ordres i control (C2, C&C) de l'operació. El trànsit entrant del C2 es xifra amb l'algoritme criptogràfic AES. Per desxifrar les ordres i els seus paràmetres, la balisa té un parell de claus codificades.