Threat Database Trojans PingPull Malware

PingPull Malware

Gallim APT (Advanced Persistent Threat)-gruppen har kjørt en angrepskampanje rettet mot finansinstitusjoner og statlige enheter på tvers av flere kontinenter. Mer spesifikt har denne siste operasjonen til den sannsynlige kinesisk-sponsede hackergruppen blitt utnyttet mot mål i Russland, Belgia, Vietnam, Kambodsja, Australia, Filippinene, Malaysia og Afghanistan. Videre, ifølge cybersikkerhetsforskerne ved Palo Alto Networks Unit42, har trusselaktøren distribuert en ny, spesielt snikende RAT (Remote Access Trojan) sporet som 'PingPull.'

PingPull-trusselen er designet for å infiltrere de målrettede enhetene og deretter lage et omvendt skall på dem. Etterpå vil angriperne ha muligheten til å eksternt utføre vilkårlige kommandoer. Rapporten fra Unit42 avslører at tre separate varianter av PingPull er identifisert. Den største forskjellen mellom dem er den brukte kommunikasjonsprotokollen - ICMP, HTTPS eller TCP. Det er sannsynlig at Gallium-hackerne velger den varianten som vil gi dem de beste mulighetene til å unndra seg spesifikke nettverksdeteksjonsmetoder eller sikkerhetsverktøy basert på tidligere innhentet informasjon om målet.

Alle tre variantene eksisterer på de infiltrerte maskinene som en tjeneste som har en beskrivelse som etterligner en legitim tjeneste. Kommandoene som gjenkjennes av variantene er også de samme. De spenner fra å manipulere filsystemet, kjøre kommandoer via cmd.exe, telle opp lagringsvolumene, muligheten til å stoppe filer og sende data til kommando-og-kontroll-serveren (C2, C&C) for operasjonen. Den innkommende trafikken fra C2 er kryptert med AES kryptografiske algoritme. For å dekryptere kommandoene og deres parametere har beaconet et par hardkodede nøkler.

Trender

Mest sett

Laster inn...