Threat Database Trojans Zlonamjerni softver PingPull

Zlonamjerni softver PingPull

Grupa Gallim APT (Advanced Persistent Threat) vodi kampanju napada usmjerenu na financijske institucije i vladine subjekte na nekoliko kontinenata. Točnije, ova najnovija operacija vjerojatne hakerske skupine koju sponzoriraju Kinezi bila je usmjerena protiv ciljeva u Rusiji, Belgiji, Vijetnamu, Kambodži, Australiji, Filipinima, Maleziji i Afganistanu. Nadalje, prema istraživačima kibernetičke sigurnosti u Palo Alto Networks Unit42, akter prijetnje je postavio novi posebno prikriveni RAT (trojanac za daljinski pristup) praćen kao 'PingPull'.

Prijetnja PingPull osmišljena je za infiltriranje ciljanih uređaja, a zatim stvaranje obrnute ljuske na njima. Nakon toga, napadači će imati mogućnost daljinskog izvršavanja proizvoljnih naredbi. Izvješće Unit42 otkriva da su identificirane tri odvojene varijante PingPulla. Glavna razlika između njih je korišteni komunikacijski protokol - ICMP, HTTPS ili TCP. Vjerojatno je da hakeri Galliuma izaberu varijantu koja će im pružiti najbolje šanse da izbjegnu specifične metode detekcije mreže ili sigurnosne alate na temelju prethodno prikupljenih informacija o meti.

Sve tri varijante postoje na infiltriranim strojevima kao usluga koja ima opis koji oponaša onaj legitimne usluge. Naredbe koje prepoznaju varijante također su iste. Oni se kreću od manipuliranja datotečnim sustavom, pokretanja naredbi putem cmd.exe, nabrajanja volumena za pohranu, mogućnosti vremenskog zaustavljanja datoteka i slanja podataka na poslužitelj za naredbu i kontrolu (C2, C&C) operacije. Dolazni promet s C2 šifriran je AES kriptografskim algoritmom. Za dešifriranje naredbi i njihovih parametara, beacon ima par tvrdo kodiranih ključeva.

U trendu

Nagledanije

Učitavam...