Zlonamerna programska oprema PingPull

Skupina Gallim APT (Advanced Persistent Threat) izvaja napadalno kampanjo, ki je usmerjena v finančne institucije in vladne subjekte na več celinah. Natančneje, ta zadnja operacija verjetne hekerske skupine, ki jo sponzorira Kitajska, je bila uporabljena proti tarčam v Rusiji, Belgiji, Vietnamu, Kambodži, Avstraliji, Filipinih, Maleziji in Afganistanu. Poleg tega je po navedbah raziskovalcev kibernetske varnosti v enoti42 Palo Alto Networks akter groženj uporabil nov, posebej prikrit RAT (trojanec za oddaljeni dostop), ki mu sledijo kot »PingPull«.

Grožnja PingPull je zasnovana tako, da se infiltrira v ciljne naprave in nato na njih ustvari povratno lupino. Nato bodo imeli napadalci možnost, da na daljavo izvajajo poljubne ukaze. Poročilo Unit42 razkriva, da so bile ugotovljene tri ločene različice PingPull. Glavna razlika med njima je uporabljeni komunikacijski protokol - ICMP, HTTPS ali TCP. Verjetno je, da hekerji Gallium izberejo različico, ki jim bo zagotovila najboljše možnosti, da se izognejo določenim metodam zaznavanja omrežja ali varnostnim orodjem na podlagi predhodno pridobljenih informacij o cilju.

Vse tri različice obstajajo na infiltriranih strojih kot storitev, ki ima opis, ki posnema opis zakonite storitve. Ukazi, ki jih prepoznajo različice, so prav tako enaki. Segajo od manipuliranja datotečnega sistema, izvajanja ukazov prek cmd.exe, naštevanja prostornine za shranjevanje, zmožnosti časovne zaustavitve datotek in pošiljanja podatkov strežniku za upravljanje in nadzor (C2, C&C) operacije. Dohodni promet iz C2 je šifriran s kriptografskim algoritmom AES. Za dešifriranje ukazov in njihovih parametrov ima svetilnik par trdo kodiranih ključev.