Malware PingPull

Il gruppo Gallim APT (Advanced Persistent Threat) ha condotto una campagna di attacco contro istituzioni finanziarie ed enti governativi in diversi continenti. Più specificamente, quest'ultima operazione del probabile gruppo di hacker sponsorizzato dalla Cina è stata sfruttata contro obiettivi in Russia, Belgio, Vietnam, Cambogia, Australia, Filippine, Malesia e Afghanistan. Inoltre, secondo i ricercatori di sicurezza informatica dell'Unità42 di Palo Alto Network, l'attore delle minacce ha implementato un nuovo RAT (Remote Access Trojan) particolarmente furtivo, tracciato come "PingPull".

La minaccia PingPull è progettata per infiltrarsi nei dispositivi presi di mira e quindi creare una shell inversa su di essi. Successivamente, gli aggressori avranno la possibilità di eseguire in remoto comandi arbitrari. Il rapporto di Unit42 rivela che sono state identificate tre varianti separate di PingPull. La principale differenza tra loro è il protocollo di comunicazione utilizzato: ICMP, HTTPS o TCP. È probabile che gli hacker di Gallium scelgano la variante che fornirà loro le migliori possibilità di eludere specifici metodi di rilevamento della rete o strumenti di sicurezza basati sulle informazioni precedentemente acquisite sull'obiettivo.

Tutte e tre le varianti esistono sulle macchine infiltrate come servizio che ha una descrizione che imita quella di un servizio legittimo. Anche i comandi riconosciuti dalle varianti sono gli stessi. Si va dalla manipolazione del file system, all'esecuzione di comandi tramite cmd.exe, all'enumerazione dei volumi di archiviazione, alla possibilità di fermare i file e all'invio di dati al server Command-and-Control (C2, C&C) dell'operazione. Il traffico in entrata dal C2 è crittografato con l'algoritmo crittografico AES. Per decifrare i comandi ei loro parametri, il beacon ha una coppia di chiavi codificate.