Perisian Hasad PingPull

Kumpulan Gallim APT (Advanced Persistent Threat) telah menjalankan kempen serangan yang menyasarkan institusi kewangan dan entiti kerajaan di beberapa benua. Lebih khusus lagi, operasi terbaharu kumpulan penggodam tajaan China ini telah dimanfaatkan terhadap sasaran di Rusia, Belgium, Vietnam, Kemboja, Australia, Filipina, Malaysia dan Afghanistan. Tambahan pula, menurut penyelidik keselamatan siber di Unit42 Rangkaian Palo Alto, pelakon ancaman itu telah menggunakan RAT (Trojan Akses Jauh) baharu yang sangat tersembunyi yang dijejaki sebagai 'PingPull.'

Ancaman PingPull direka untuk menyusup ke peranti yang disasarkan dan kemudian mencipta cangkerang terbalik pada peranti tersebut. Selepas itu, penyerang akan mempunyai keupayaan untuk melaksanakan arahan sewenang-wenangnya dari jauh. Laporan oleh Unit42 mendedahkan bahawa tiga varian berasingan PingPull telah dikenal pasti. Perbezaan utama antara mereka ialah protokol komunikasi yang digunakan - ICMP, HTTPS atau TCP. Kemungkinan penggodam Gallium memilih varian yang akan memberikan mereka peluang terbaik untuk mengelak kaedah pengesanan rangkaian tertentu atau alat keselamatan berdasarkan maklumat yang diperoleh sebelum ini mengenai sasaran.

Ketiga-tiga varian wujud pada mesin yang disusupi sebagai perkhidmatan yang mempunyai penerangan yang meniru perkhidmatan yang sah. Perintah yang diiktiraf oleh varian juga adalah sama. Ia terdiri daripada memanipulasi sistem fail, menjalankan perintah melalui cmd.exe, menghitung jumlah storan, keupayaan untuk menghentikan masa fail dan menghantar data ke pelayan Perintah-dan-Kawalan (C2, C&C) operasi. Trafik masuk dari C2 disulitkan dengan algoritma kriptografi AES. Untuk menyahsulit arahan dan parameternya, beacon mempunyai sepasang kunci berkod keras.