Threat Database Trojans PingPull pahavara

PingPull pahavara

Gallim APT (Advanced Persistent Threat) rühm on korraldanud rünnakukampaaniat, mis on suunatud finantsasutustele ja valitsusasutustele mitmel kontinendil. Täpsemalt on Hiina tõenäoliselt toetatud häkkerirühma viimast operatsiooni kasutatud sihtmärkide vastu Venemaal, Belgias, Vietnamis, Kambodžas, Austraalias, Filipiinidel, Malaisias ja Afganistanis. Lisaks on Palo Alto Networki üksuse 42 küberjulgeolekuteadlaste sõnul ohus osaleja kasutusele võtnud uue eriti vargse RAT-i (Remote Access Trojan), mida jälgitakse kui PingPull.

PingPulli oht on loodud selleks, et tungida sihitud seadmetesse ja seejärel luua neile vastupidine kest. Seejärel saavad ründajad kaugjuhtimisega suvalisi käske täita. Unit42 aruanne näitab, et on tuvastatud kolm erinevat PingPulli varianti. Peamine erinevus nende vahel on kasutatav sideprotokoll - ICMP, HTTPS või TCP. On tõenäoline, et Galliumi häkkerid valivad variandi, mis annab neile parima võimaluse vältida konkreetseid võrgutuvastusmeetodeid või turvatööriistu, tuginedes eelnevalt omandatud teabele sihtmärgi kohta.

Kõik kolm varianti eksisteerivad sissetunginud masinates teenusena, mille kirjeldus jäljendab seadusliku teenuse kirjeldust. Variantide poolt äratuntavad käsud on samuti samad. Need ulatuvad failisüsteemiga manipuleerimisest, käskude käivitamisest cmd.exe kaudu, salvestusmahtude loendamisest, failide aegumise võimalusest ja andmete saatmisest toimingu Command-and-Control (C2, C&C) serverisse. C2-st sissetulev liiklus krüpteeritakse AES-i krüptoalgoritmiga. Käskude ja nende parameetrite dekrüpteerimiseks on majakal paar kõvakoodiga võtmeid.

Trendikas

Enim vaadatud

Laadimine...