PingPull-malware

De Gallim APT-groep (Advanced Persistent Threat) voert een aanvalscampagne tegen financiële instellingen en overheidsinstanties op verschillende continenten. Meer specifiek is deze laatste operatie van de waarschijnlijk door China gesponsorde hackergroep ingezet tegen doelen in Rusland, België, Vietnam, Cambodja, Australië, de Filippijnen, Maleisië en Afghanistan. Bovendien, volgens de cybersecurity-onderzoekers van Unit42 van Palo Alto Network, heeft de dreigingsactor een nieuwe, bijzonder onopvallende RAT (Remote Access Trojan) ingezet die wordt gevolgd als 'PingPull'.

De PingPull-dreiging is ontworpen om de beoogde apparaten te infiltreren en er vervolgens een omgekeerde shell op te maken. Daarna hebben de aanvallers de mogelijkheid om op afstand willekeurige opdrachten uit te voeren. Uit het rapport van Unit42 blijkt dat er drie afzonderlijke varianten van PingPull zijn geïdentificeerd. Het belangrijkste verschil tussen beide is het gebruikte communicatieprotocol - ICMP, HTTPS of TCP. Het is waarschijnlijk dat de Gallium-hackers de variant kiezen die hen de beste kansen biedt om specifieke netwerkdetectiemethoden of beveiligingstools te omzeilen op basis van eerder verkregen informatie over het doelwit.

Alle drie de varianten bestaan op de geïnfiltreerde machines als een service met een beschrijving die lijkt op die van een legitieme service. De commando's die door de varianten worden herkend, zijn ook hetzelfde. Ze variëren van het manipuleren van het bestandssysteem, het uitvoeren van opdrachten via cmd.exe, het opsommen van de opslagvolumes, de mogelijkheid om bestanden te timestoppen en het verzenden van gegevens naar de Command-and-Control (C2, C&C)-server van de operatie. Het inkomende verkeer van de C2 wordt versleuteld met het AES cryptografische algoritme. Om de commando's en hun parameters te decoderen, heeft het baken een paar hardgecodeerde sleutels.