Threat Database Trojans Złośliwe oprogramowanie PingPull

Złośliwe oprogramowanie PingPull

Grupa Gallim APT (Advanced Persistent Threat) prowadzi kampanię ataków wymierzoną w instytucje finansowe i instytucje rządowe na kilku kontynentach. Dokładniej, ta najnowsza operacja prawdopodobnie sponsorowanej przez Chiny grupy hakerów została wykorzystana przeciwko celom w Rosji, Belgii, Wietnamie, Kambodży, Australii, Filipinach, Malezji i Afganistanie. Co więcej, według badaczy cyberbezpieczeństwa z Palo Alto Network's Unit42, cyberprzestępca wdrożył nowego, szczególnie ukrytego RAT (trojan zdalnego dostępu) śledzonego jako "PingPull".

Zagrożenie PingPull ma na celu infiltrację docelowych urządzeń, a następnie utworzenie na nich odwróconej powłoki. Następnie atakujący będą mogli zdalnie wykonywać dowolne polecenia. Raport firmy Unit42 ujawnia, że zidentyfikowano trzy oddzielne warianty PingPull. Główną różnicą między nimi jest wykorzystywany protokół komunikacyjny - ICMP, HTTPS lub TCP. Jest prawdopodobne, że hakerzy Gallium wybiorą wariant, który zapewni im największe szanse na obejście określonych metod wykrywania sieci lub narzędzi bezpieczeństwa na podstawie wcześniej uzyskanych informacji o celu.

Wszystkie trzy warianty istnieją na infiltrowanych maszynach jako usługa, której opis naśladuje legalną usługę. Polecenia rozpoznawane przez warianty również są takie same. Obejmują one manipulowanie systemem plików, uruchamianie poleceń za pomocą cmd.exe, wyliczanie woluminów pamięci masowej, możliwość zatrzymywania plików i wysyłanie danych do serwera Command-and-Control (C2, C&C) operacji. Ruch przychodzący z C2 jest szyfrowany algorytmem kryptograficznym AES. Aby odszyfrować polecenia i ich parametry, beacon ma parę kluczy zakodowanych na stałe.

Popularne

Najczęściej oglądane

Ładowanie...