PingPull मालवेयर
ग्यालिम एपीटी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहले विभिन्न महाद्वीपहरूमा वित्तीय संस्था र सरकारी निकायहरूलाई लक्षित गर्दै आक्रमण अभियान चलाउँदै आएको छ। थप विशेष रूपमा, सम्भावित चिनियाँ प्रायोजित ह्याकर समूहको यो पछिल्लो अपरेसन रूस, बेल्जियम, भियतनाम, कम्बोडिया, अष्ट्रेलिया, फिलिपिन्स, मलेसिया र अफगानिस्तानमा लक्ष्यहरू विरुद्ध लिभरेज गरिएको छ। यसबाहेक, पालो अल्टो नेटवर्कको Unit42 मा साइबरसुरक्षा अनुसन्धानकर्ताहरूका अनुसार, खतरा अभिनेताले 'PingPull' को रूपमा ट्र्याक गरिएको नयाँ विशेष गरी चोरी RAT (रिमोट एक्सेस ट्रोजन) प्रयोग गरेको छ।
PingPull खतरा लक्षित यन्त्रहरूमा घुसपैठ गर्न र त्यसपछि तिनीहरूमा रिभर्स शेल सिर्जना गर्न डिजाइन गरिएको हो। पछि, आक्रमणकारीहरूसँग टाढैबाट मनमानी आदेशहरू कार्यान्वयन गर्ने क्षमता हुनेछ। Unit42 द्वारा रिपोर्टले पिंगपुलका तीनवटा अलग-अलग भेरियन्टहरू पहिचान गरिएको बताउँछ। तिनीहरू बीचको प्रमुख भिन्नता प्रयोग गरिएको संचार प्रोटोकल हो - ICMP, HTTPS वा TCP। यो सम्भव छ कि ग्यालियम ह्याकरहरूले वेरिएन्ट छान्छन् जसले उनीहरूलाई लक्ष्यको बारेमा पहिले प्राप्त जानकारीको आधारमा विशेष नेटवर्क पत्ता लगाउने विधिहरू वा सुरक्षा उपकरणहरूबाट बच्न उत्तम अवसरहरू प्रदान गर्दछ।
सबै तीन प्रकारहरू घुसपैठ गरिएका मेसिनहरूमा सेवाको रूपमा अवस्थित छन् जसमा वैध सेवाको नक्कल गर्ने विवरण छ। भेरियन्टहरू द्वारा पहिचान गरिएका आदेशहरू पनि समान छन्। तिनीहरू फाइल प्रणाली हेरफेर, cmd.exe मार्फत आदेशहरू चलाउने, भण्डारण भोल्युमहरू गणना गर्ने, फाइलहरू टाइमस्टप गर्ने क्षमता, र सञ्चालनको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरमा डाटा पठाउने दायरा छन्। C2 बाट आगमन ट्राफिक AES क्रिप्टोग्राफिक एल्गोरिथ्म संग गुप्तिकरण गरिएको छ। आदेशहरू र तिनीहरूका प्यारामिटरहरू डिक्रिप्ट गर्न, बीकनसँग हार्डकोड गरिएको कुञ्जीहरूको जोडी छ।
