PingPull Malware

A Gallim APT (Advanced Persistent Threat) csoport több kontinens pénzügyi intézményeit és kormányzati szervezeteit célzó támadási kampányt folytat. Pontosabban, a valószínűleg kínai szponzorált hackercsoport legújabb akciója oroszországi, belgiumi, vietnámi, kambodzsai, ausztráliai, fülöp-szigeteki, malajziai és afganisztáni célpontok ellen hat. Ezenkívül a Palo Alto Network 42-es egységének kiberbiztonsági kutatói szerint a fenyegetettség szereplője egy új, különösen lopakodó RAT-ot (Remote Access Trojan) telepített, amelyet „PingPull” néven nyomon követnek.

A PingPull fenyegetés célja, hogy beszivárogjon a megcélzott eszközökbe, majd fordított héjat hozzon létre rajtuk. Ezt követően a támadók képesek lesznek tetszőleges parancsok távoli végrehajtására. A Unit42 jelentéséből kiderül, hogy a PingPull három különböző változatát azonosították. A fő különbség köztük az alkalmazott kommunikációs protokoll - ICMP, HTTPS vagy TCP. Valószínű, hogy a Gallium hackerei azt a változatot választják, amely a legjobb esélyt biztosítja számukra, hogy kikerüljenek bizonyos hálózati észlelési módszereket vagy biztonsági eszközöket a célpontról korábban megszerzett információk alapján.

Mindhárom változat létezik a behatolt gépeken olyan szolgáltatásként, amelynek leírása egy legitim szolgáltatás leírását utánozza. A változatok által felismert parancsok is megegyeznek. Ezek a következők: a fájlrendszer manipulálása, parancsok futtatása a cmd.exe-n keresztül, a tárolókötetek számbavétele, a fájlok időzítésének képessége és az adatok küldése a művelet Command-and-Control (C2, C&C) szerverére. A C2-ről bejövő forgalmat az AES kriptográfiai algoritmus titkosítja. A parancsok és paramétereik visszafejtéséhez a jeladónak van egy pár hardcoded kulcsa.