PingPull Malware

O grupo Gallim APT (Advanced Persistent Threat) vem realizando uma campanha de ataque contra instituições financeiras e entidades governamentais em vários continentes. Mais especificamente, esta última operação do grupo de hackers provavelmente patrocinado pela China foi aproveitada contra alvos na Rússia, Bélgica, Vietnã, Camboja, Austrália, Filipinas, Malásia e Afeganistão. Além disso, de acordo com os pesquisadores de segurança cibernética da Unit42 da Palo Alto Network, o agente da ameaça implantou um novo RAT (Trojan de Acesso Remoto) especialmente furtivo, rastreado como 'PingPull'.

A ameaça PingPull foi projetada para se infiltrar nos dispositivos de destino e, em seguida, criar um shell reverso neles. Depois, os invasores terão a capacidade de executar remotamente comandos arbitrários. O relatório da Unit42 revela que foram identificadas três variantes separadas do PingPull. A principal diferença entre eles é o protocolo de comunicação utilizado - ICMP, HTTPS ou TCP. É provável que os hackers do Gallium escolham a variante que lhes dará as melhores chances de evitar métodos específicos de detecção de rede ou ferramentas de segurança com base em informações adquiridas anteriormente sobre o alvo.

Todas as três variantes existem nas máquinas infiltradas como um serviço que tem uma descrição que imita a de um serviço legítimo. Os comandos reconhecidos pelas variantes também são os mesmos. Eles vão desde manipular o sistema de arquivos, executar comandos via cmd.exe, enumerar os volumes de armazenamento, a capacidade de parar arquivos e enviar dados para o servidor de comando e controle (C2, C&C) da operação. O tráfego de entrada do C2 é criptografado com o algoritmo criptográfico AES. Para descriptografar os comandos e seus parâmetros, o beacon possui um par de chaves codificadas.