بدافزار PingPull

گروه Gallim APT (تهدید پایدار پیشرفته) یک کمپین حمله ای را اجرا کرده است که موسسات مالی و نهادهای دولتی را در چندین قاره هدف قرار می دهد. به طور خاص، این آخرین عملیات گروه هکری احتمالاً تحت حمایت چین علیه اهدافی در روسیه، بلژیک، ویتنام، کامبوج، استرالیا، فیلیپین، مالزی و افغانستان مورد استفاده قرار گرفته است. علاوه بر این، طبق گفته محققان امنیت سایبری در Palo Alto's Unit42، عامل تهدید یک RAT (تروجان دسترسی از راه دور) جدید به ویژه مخفیانه را به‌عنوان «PingPull» ردیابی کرده است.

تهدید PingPull برای نفوذ به دستگاه های هدف و سپس ایجاد یک پوسته معکوس بر روی آنها طراحی شده است. پس از آن، مهاجمان توانایی اجرای دستورات دلخواه را از راه دور خواهند داشت. گزارش Unit42 نشان می دهد که سه نوع جداگانه PingPull شناسایی شده است. تفاوت عمده بین آنها پروتکل ارتباطی مورد استفاده - ICMP، HTTPS یا TCP است. به احتمال زیاد هکرهای گالیوم گونه‌ای را انتخاب می‌کنند که بهترین شانس را برای فرار از روش‌های شناسایی شبکه خاص یا ابزارهای امنیتی بر اساس اطلاعات به‌دست‌آمده قبلی در مورد هدف برای آنها فراهم می‌کند.

هر سه نوع در ماشین‌های نفوذی به عنوان سرویسی وجود دارند که توصیفی شبیه خدمات قانونی دارند. دستورات شناسایی شده توسط انواع نیز یکسان است. آنها از دستکاری سیستم فایل، اجرای دستورات از طریق cmd.exe، شمارش حجم های ذخیره سازی، امکان توقف زمان فایل ها، و ارسال داده ها به سرور Command-and-Control (C2, C&C) عملیات را شامل می شوند. ترافیک ورودی از C2 با الگوریتم رمزنگاری AES رمزگذاری شده است. برای رمزگشایی دستورات و پارامترهای آنها، بیکن دارای یک جفت کلید رمزگذاری شده است.