PingPull Malware

Gallim APT(Advanced Persistent Threat) 그룹은 여러 대륙의 금융 기관과 정부 기관을 대상으로 공격 캠페인을 실행하고 있습니다. 보다 구체적으로, 중국이 후원하는 해커 그룹의 이 최신 작전은 러시아, 벨기에, 베트남, 캄보디아, 호주, 필리핀, 말레이시아 및 아프가니스탄의 목표물에 활용되었습니다. 또한 Palo Alto Network's Unit42의 사이버 보안 연구원에 따르면 공격자는 'PingPull'로 추적되는 특히 은밀한 새로운 RAT(원격 액세스 트로이 목마)를 배포했습니다.

PingPull 위협은 대상 장치에 침투한 다음 역 쉘을 생성하도록 설계되었습니다. 그 후 공격자는 원격으로 임의의 명령을 실행할 수 있습니다. Unit42의 보고서에 따르면 PingPull의 세 가지 개별 변종이 확인되었습니다. 그들 사이의 주요 차이점은 사용되는 통신 프로토콜(ICMP, HTTPS 또는 TCP)입니다. Gallium 해커는 표적에 대해 이전에 획득한 정보를 기반으로 특정 네트워크 탐지 방법이나 보안 도구를 회피할 수 있는 가장 좋은 기회를 제공하는 변종을 선택할 가능성이 높습니다.

세 가지 변종은 모두 합법적인 서비스와 유사한 설명이 있는 서비스로 침투된 시스템에 존재합니다. 변종에서 인식하는 명령도 동일합니다. 여기에는 파일 시스템 조작, cmd.exe를 통한 명령 실행, 저장소 볼륨 열거, 파일 시간 정지 기능, 작업의 Command-and-Control(C2, C&C) 서버로 데이터 전송이 포함됩니다. C2에서 들어오는 트래픽은 AES 암호화 알고리즘으로 암호화됩니다. 명령과 해당 매개변수를 해독하기 위해 비콘에는 한 쌍의 하드코딩된 키가 있습니다.