PingPull Malware

ਗੈਲਿਮ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਸਮੂਹ ਕਈ ਮਹਾਂਦੀਪਾਂ ਵਿੱਚ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਇੱਕ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਚਲਾ ਰਿਹਾ ਹੈ। ਵਧੇਰੇ ਖਾਸ ਤੌਰ 'ਤੇ, ਸੰਭਾਵਤ ਚੀਨੀ-ਪ੍ਰਯੋਜਿਤ ਹੈਕਰ ਸਮੂਹ ਦੀ ਇਸ ਨਵੀਨਤਮ ਕਾਰਵਾਈ ਨੂੰ ਰੂਸ, ਬੈਲਜੀਅਮ, ਵੀਅਤਨਾਮ, ਕੰਬੋਡੀਆ, ਆਸਟਰੇਲੀਆ, ਫਿਲੀਪੀਨਜ਼, ਮਲੇਸ਼ੀਆ ਅਤੇ ਅਫਗਾਨਿਸਤਾਨ ਵਿੱਚ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਲਿਆ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪਾਲੋ ਆਲਟੋ ਨੈੱਟਵਰਕ ਦੇ ਯੂਨਿਟ 42 ਦੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ 'ਪਿੰਗਪੁਲ' ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਇੱਕ ਨਵੇਂ ਖਾਸ ਤੌਰ 'ਤੇ ਸਟੀਲਥੀ RAT (ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ) ਨੂੰ ਤਾਇਨਾਤ ਕੀਤਾ ਹੈ।

PingPull ਧਮਕੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਯੰਤਰਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਅਤੇ ਫਿਰ ਉਹਨਾਂ ਉੱਤੇ ਇੱਕ ਰਿਵਰਸ ਸ਼ੈੱਲ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਬਾਅਦ ਵਿੱਚ, ਹਮਲਾਵਰਾਂ ਕੋਲ ਰਿਮੋਟਲੀ ਆਰਬਿਟਰੇਰੀ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਸਮਰੱਥਾ ਹੋਵੇਗੀ। ਯੂਨਿਟ 42 ਦੀ ਰਿਪੋਰਟ ਦੱਸਦੀ ਹੈ ਕਿ ਪਿੰਗਪੁਲ ਦੇ ਤਿੰਨ ਵੱਖਰੇ ਰੂਪਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ। ਉਹਨਾਂ ਵਿਚਕਾਰ ਮੁੱਖ ਅੰਤਰ ਉਪਯੋਗਿਤ ਸੰਚਾਰ ਪ੍ਰੋਟੋਕੋਲ ਹੈ - ICMP, HTTPS ਜਾਂ TCP। ਇਹ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਗੈਲਿਅਮ ਹੈਕਰ ਉਹ ਵੇਰੀਐਂਟ ਚੁਣਦੇ ਹਨ ਜੋ ਉਹਨਾਂ ਨੂੰ ਟੀਚੇ ਬਾਰੇ ਪਹਿਲਾਂ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾਣਕਾਰੀ ਦੇ ਅਧਾਰ ਤੇ ਖਾਸ ਨੈਟਵਰਕ ਖੋਜ ਵਿਧੀਆਂ ਜਾਂ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਤੋਂ ਬਚਣ ਲਈ ਸਭ ਤੋਂ ਵਧੀਆ ਮੌਕੇ ਪ੍ਰਦਾਨ ਕਰੇਗਾ।

ਸਾਰੇ ਤਿੰਨ ਰੂਪ ਘੁਸਪੈਠ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ ਇੱਕ ਸੇਵਾ ਦੇ ਰੂਪ ਵਿੱਚ ਮੌਜੂਦ ਹਨ ਜਿਸਦਾ ਵਰਣਨ ਇੱਕ ਜਾਇਜ਼ ਸੇਵਾ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। ਵੇਰੀਐਂਟ ਦੁਆਰਾ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਕਮਾਂਡਾਂ ਵੀ ਉਹੀ ਹਨ। ਉਹ ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ, cmd.exe ਦੁਆਰਾ ਕਮਾਂਡਾਂ ਚਲਾਉਣ, ਸਟੋਰੇਜ ਵਾਲੀਅਮ ਦੀ ਗਿਣਤੀ ਕਰਨ, ਫਾਈਲਾਂ ਨੂੰ ਟਾਈਮਸਟਾਪ ਕਰਨ ਦੀ ਯੋਗਤਾ, ਅਤੇ ਓਪਰੇਸ਼ਨ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਨੂੰ ਡੇਟਾ ਭੇਜਣ ਤੋਂ ਲੈ ਕੇ ਹਨ। C2 ਤੋਂ ਆਉਣ ਵਾਲੇ ਟ੍ਰੈਫਿਕ ਨੂੰ AES ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਐਲਗੋਰਿਦਮ ਨਾਲ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਕਮਾਂਡਾਂ ਅਤੇ ਉਹਨਾਂ ਦੇ ਪੈਰਾਮੀਟਰਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਲਈ, ਬੀਕਨ ਕੋਲ ਹਾਰਡਕੋਡਡ ਕੁੰਜੀਆਂ ਦਾ ਇੱਕ ਜੋੜਾ ਹੈ।