PingPull Malware

Grupul Gallim APT (Advanced Persistent Threat) a desfășurat o campanie de atac care vizează instituțiile financiare și entitățile guvernamentale de pe mai multe continente. Mai precis, această ultimă operațiune a grupului de hackeri sponsorizat de China a fost folosită împotriva unor ținte din Rusia, Belgia, Vietnam, Cambodgia, Australia, Filipine, Malaezia și Afganistan. În plus, conform cercetătorilor în securitate cibernetică de la Unitatea42 a rețelei Palo Alto, actorul amenințării a implementat un nou RAT (Troian de acces la distanță) deosebit de ascuns, urmărit ca „PingPull”.

Amenințarea PingPull este concepută să se infiltreze în dispozitivele vizate și apoi să creeze un shell invers pe ele. Ulterior, atacatorii vor avea capacitatea de a executa de la distanță comenzi arbitrare. Raportul Unit42 dezvăluie că au fost identificate trei variante separate de PingPull. Diferența majoră dintre ele este protocolul de comunicare utilizat - ICMP, HTTPS sau TCP. Este probabil ca hackerii Gallium să aleagă varianta care le va oferi cele mai bune șanse de a se sustrage de anumite metode de detectare a rețelei sau instrumente de securitate bazate pe informațiile obținute anterior despre țintă.

Toate cele trei variante există pe mașinile infiltrate ca un serviciu care are o descriere care o imită pe cea a unui serviciu legitim. Comenzile recunoscute de variante sunt și ele aceleași. Acestea variază de la manipularea sistemului de fișiere, rularea comenzilor prin cmd.exe, enumerarea volumelor de stocare, capacitatea de a opri fișierele și trimiterea de date către serverul de comandă și control (C2, C&C) al operațiunii. Traficul de intrare de la C2 este criptat cu algoritmul criptografic AES. Pentru a decripta comenzile și parametrii acestora, baliza are o pereche de chei codificate.