PingPull Malware

Skupina Gallim APT (Advanced Persistent Threat) vedie útočnú kampaň zameranú na finančné inštitúcie a vládne subjekty na niekoľkých kontinentoch. Presnejšie povedané, táto najnovšia operácia pravdepodobne Čínou sponzorovanej hackerskej skupiny bola použitá proti cieľom v Rusku, Belgicku, Vietname, Kambodži, Austrálii, Filipínach, Malajzii a Afganistane. Okrem toho, podľa výskumníkov kybernetickej bezpečnosti z Palo Alto Network's Unit42, aktér hrozby nasadil nový obzvlášť tajný RAT (Remote Access Trojan) sledovaný ako „PingPull“.

Hrozba PingPull je navrhnutá tak, aby infiltrovala cielené zariadenia a potom na nich vytvorila spätný plášť. Potom budú mať útočníci možnosť na diaľku vykonávať ľubovoľné príkazy. Správa od Unit42 odhaľuje, že boli identifikované tri samostatné varianty PingPull. Hlavným rozdielom medzi nimi je použitý komunikačný protokol – ICMP, HTTPS alebo TCP. Je pravdepodobné, že hackeri Gallium si vyberú variant, ktorý im poskytne najlepšie šance vyhnúť sa špecifickým metódam detekcie siete alebo bezpečnostným nástrojom na základe predtým získaných informácií o cieli.

Všetky tri varianty existujú na infiltrovaných počítačoch ako služba, ktorá má popis napodobňujúci popis legitímnej služby. Príkazy rozpoznané variantmi sú tiež rovnaké. Zahŕňajú manipuláciu so súborovým systémom, spúšťanie príkazov cez cmd.exe, vyčíslenie úložných objemov, schopnosť časovo zastaviť súbory a odosielanie údajov na server Command-and-Control (C2, C&C) operácie. Prichádzajúca prevádzka z C2 je šifrovaná kryptografickým algoritmom AES. Na dešifrovanie príkazov a ich parametrov má maják pár pevne zakódovaných kľúčov.