Threat Database Trojans PingPull Malware

PingPull Malware

Gallim APT (Advanced Persistent Threat)-gruppen har kørt en angrebskampagne rettet mod finansielle institutioner og statslige enheder på tværs af flere kontinenter. Mere specifikt er denne seneste operation af den sandsynlige kinesisk-sponsorerede hackergruppe blevet udnyttet mod mål i Rusland, Belgien, Vietnam, Cambodja, Australien, Filippinerne, Malaysia og Afghanistan. Ifølge cybersikkerhedsforskerne ved Palo Alto Networks Unit42 har trusselsaktøren desuden implementeret en ny, særligt snigende RAT (Remote Access Trojan) sporet som 'PingPull.'

PingPull-truslen er designet til at infiltrere de målrettede enheder og derefter skabe en omvendt shell på dem. Bagefter vil angriberne have mulighed for at eksternt udføre vilkårlige kommandoer. Rapporten fra Unit42 afslører, at tre separate varianter af PingPull er blevet identificeret. Den største forskel mellem dem er den anvendte kommunikationsprotokol - ICMP, HTTPS eller TCP. Det er sandsynligt, at Gallium-hackere vælger den variant, der vil give dem de bedste chancer for at undgå specifikke netværksdetektionsmetoder eller sikkerhedsværktøjer baseret på tidligere erhvervede oplysninger om målet.

Alle tre varianter findes på de infiltrerede maskiner som en tjeneste, der har en beskrivelse, der efterligner en lovlig tjeneste. De kommandoer, der genkendes af varianterne, er også de samme. De spænder fra at manipulere filsystemet, køre kommandoer via cmd.exe, optælling af lagervolumener, evnen til at timestop filer og sende data til Command-and-Control (C2, C&C) serveren for operationen. Den indgående trafik fra C2 er krypteret med AES kryptografiske algoritme. For at dekryptere kommandoerne og deres parametre har beaconet et par hårdkodede nøgler.

Trending

Mest sete

Indlæser...