Вредоносное ПО PingPull

Группа Gallim APT (Advanced Persistent Threat) проводит атакующую кампанию, нацеленную на финансовые учреждения и правительственные учреждения на нескольких континентах. В частности, эта последняя операция спонсируемой Китаем хакерской группы была направлена против целей в России, Бельгии, Вьетнаме, Камбодже, Австралии, Филиппинах, Малайзии и Афганистане. Кроме того, по словам исследователей кибербезопасности из Palo Alto Network's Unit42, злоумышленник развернул новый особенно скрытный RAT (троян удаленного доступа), отслеживаемый как «PingPull».

Угроза PingPull предназначена для проникновения на целевые устройства и последующего создания на них обратной оболочки. После этого злоумышленники смогут удаленно выполнять произвольные команды. Отчет Unit42 показывает, что были идентифицированы три отдельных варианта PingPull. Основное различие между ними заключается в используемом протоколе связи — ICMP, HTTPS или TCP. Вполне вероятно, что хакеры Gallium выбирают вариант, который предоставит им наилучшие шансы обойти определенные методы обнаружения сети или инструменты безопасности на основе ранее полученной информации о цели.

Все три варианта существуют на зараженных машинах как служба, описание которой имитирует описание легитимной службы. Команды, распознаваемые вариантами, также одинаковы. Они варьируются от манипулирования файловой системой, запуска команд через cmd.exe, перечисления томов хранилища, возможности временной остановки файлов и отправки данных на сервер управления и контроля (C2, C&C) операции. Входящий трафик от C2 шифруется с помощью криптографического алгоритма AES. Для расшифровки команд и их параметров маяк имеет пару жестко запрограммированных ключей.