Threat Database Trojans PingPull Malware

PingPull Malware

गैलिम एपीटी (एडवांस पर्सिस्टेंट थ्रेट) समूह कई महाद्वीपों में वित्तीय संस्थानों और सरकारी संस्थाओं को निशाना बनाकर एक हमला अभियान चला रहा है। अधिक विशेष रूप से, संभावित चीनी-प्रायोजित हैकर समूह के इस नवीनतम ऑपरेशन का रूस, बेल्जियम, वियतनाम, कंबोडिया, ऑस्ट्रेलिया, फिलीपींस, मलेशिया और अफगानिस्तान में लक्ष्यों के खिलाफ लाभ उठाया गया है। इसके अलावा, पालो ऑल्टो नेटवर्क की यूनिट42 में साइबर सुरक्षा शोधकर्ताओं के अनुसार, धमकी देने वाले अभिनेता ने 'पिंगपुल' के रूप में ट्रैक किया गया एक नया विशेष रूप से गुप्त आरएटी (रिमोट एक्सेस ट्रोजन) तैनात किया है।

PingPull खतरे को लक्षित उपकरणों में घुसपैठ करने और फिर उन पर एक रिवर्स शेल बनाने के लिए डिज़ाइन किया गया है। बाद में, हमलावरों के पास मनमाने आदेशों को दूरस्थ रूप से निष्पादित करने की क्षमता होगी। यूनिट 42 की रिपोर्ट से पता चलता है कि पिंगपुल के तीन अलग-अलग रूपों की पहचान की गई है। उनके बीच मुख्य अंतर उपयोग किए गए संचार प्रोटोकॉल - ICMP, HTTPS या TCP है। यह संभावना है कि गैलियम हैकर्स उस वैरिएंट को चुनते हैं जो उन्हें लक्ष्य के बारे में पहले से प्राप्त जानकारी के आधार पर विशिष्ट नेटवर्क डिटेक्शन विधियों या सुरक्षा उपकरणों से बचने के सर्वोत्तम अवसर प्रदान करेगा।

सभी तीन प्रकार घुसपैठ की मशीनों पर एक ऐसी सेवा के रूप में मौजूद हैं जिसमें एक वैध सेवा की नकल करने वाला विवरण है। वेरिएंट द्वारा मान्यता प्राप्त आदेश भी समान हैं। वे फाइल सिस्टम में हेरफेर करने, cmd.exe के माध्यम से कमांड चलाने, स्टोरेज वॉल्यूम की गणना करने, फाइलों को टाइमस्टॉप करने की क्षमता और ऑपरेशन के कमांड-एंड-कंट्रोल (C2, C & C) सर्वर को डेटा भेजने से लेकर हैं। C2 से आने वाले ट्रैफ़िक को AES क्रिप्टोग्राफ़िक एल्गोरिथम के साथ एन्क्रिप्ट किया गया है। कमांड और उनके मापदंडों को डिक्रिप्ट करने के लिए, बीकन में हार्डकोडेड कुंजियों की एक जोड़ी होती है।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...