Malware PingPull

Skupina Gallim APT (Advanced Persistent Threat) spustila útočnou kampaň zaměřenou na finanční instituce a vládní subjekty na několika kontinentech. Přesněji řečeno, tato nejnovější operace pravděpodobně Čínou sponzorované hackerské skupiny byla využita proti cílům v Rusku, Belgii, Vietnamu, Kambodži, Austrálii, Filipínách, Malajsii a Afghánistánu. Kromě toho, podle výzkumníků kybernetické bezpečnosti z Palo Alto Network's Unit42, aktér hrozby nasadil nový obzvláště tajný RAT (Remote Access Trojan) sledovaný jako „PingPull“.

Hrozba PingPull je navržena tak, aby infiltrovala cílová zařízení a vytvořila na nich reverzní shell. Poté budou mít útočníci možnost vzdáleně provádět libovolné příkazy. Zpráva od Unit42 odhaluje, že byly identifikovány tři samostatné varianty PingPull. Hlavním rozdílem mezi nimi je použitý komunikační protokol – ICMP, HTTPS nebo TCP. Je pravděpodobné, že hackeři Gallium vyberou variantu, která jim poskytne nejlepší šance vyhnout se specifickým metodám detekce sítě nebo bezpečnostním nástrojům založeným na dříve získaných informacích o cíli.

Všechny tři varianty existují na infiltrovaných počítačích jako služba, která má popis napodobující popis legitimní služby. Příkazy rozpoznané variantami jsou také stejné. Sahají od manipulace se systémem souborů, spouštění příkazů přes cmd.exe, výčtu úložných svazků, schopnosti časově zastavit soubory a odesílání dat na server Command-and-Control (C2, C&C) operace. Příchozí provoz z C2 je šifrován kryptografickým algoritmem AES. Pro dešifrování příkazů a jejich parametrů má maják pár pevně zakódovaných klíčů.