PingPull kenkėjiška programa
„Gallim APT“ (išplėstinė nuolatinė grėsmė) grupė vykdo atakų kampaniją, nukreiptą į finansines institucijas ir vyriausybės subjektus keliuose žemynuose. Tiksliau, ši naujausia tikėtina Kinijos remiamos įsilaužėlių grupės operacija buvo panaudota prieš taikinius Rusijoje, Belgijoje, Vietname, Kambodžoje, Australijoje, Filipinuose, Malaizijoje ir Afganistane. Be to, pasak Palo Alto tinklo 42 skyriaus kibernetinio saugumo tyrinėtojų, grėsmės veikėjas įdiegė naują ypač slaptą RAT (nuotolinės prieigos Trojos arklys), stebimą kaip „PingPull“.
„PingPull“ grėsmė skirta įsiskverbti į tikslinius įrenginius ir sukurti juose atvirkštinį apvalkalą. Vėliau užpuolikai turės galimybę nuotoliniu būdu vykdyti savavališkas komandas. „Unit42“ ataskaitoje atskleidžiama, kad buvo nustatyti trys atskiri „PingPull“ variantai. Pagrindinis skirtumas tarp jų yra naudojamas ryšio protokolas – ICMP, HTTPS arba TCP. Tikėtina, kad „Gallium“ įsilaužėliai pasirenka variantą, kuris suteiks jiems geriausias galimybes išvengti konkrečių tinklo aptikimo metodų ar saugos priemonių, remiantis anksčiau gauta informacija apie taikinį.
Visi trys variantai yra įsiskverbtuose įrenginiuose kaip paslauga, kurios aprašymas imituoja teisėtos paslaugos aprašą. Variantų atpažįstamos komandos taip pat yra vienodos. Jie apima: manipuliavimą failų sistema, komandų vykdymą per cmd.exe, saugyklos apimties surašymą, galimybę sustabdyti failus ir siųsti duomenis į operacijos komandų ir valdymo (C2, C&C) serverį. Įeinantis srautas iš C2 yra užšifruotas AES kriptografiniu algoritmu. Norėdami iššifruoti komandas ir jų parametrus, švyturys turi porą užkoduotų raktų.
