PingPull Malware

Grupi Gallim APT (Kërcënimi i Përparuar i Përparuar) ka zhvilluar një fushatë sulmi që synon institucionet financiare dhe entitetet qeveritare në disa kontinente. Më konkretisht, ky operacion i fundit i grupit të hakerëve të mundshëm të sponsorizuar nga Kina është përdorur kundër objektivave në Rusi, Belgjikë, Vietnam, Kamboxhia, Australi, Filipine, Malajzi dhe Afganistan. Për më tepër, sipas studiuesve të sigurisë kibernetike në Unit42 të Rrjetit Palo Alto, aktori i kërcënimit ka vendosur një RAT të ri veçanërisht të fshehtë (Trojan me qasje në distancë) të gjurmuar si 'PingPull'.

Kërcënimi PingPull është krijuar për të depërtuar në pajisjet e synuara dhe më pas për të krijuar një guaskë të kundërt mbi to. Më pas, sulmuesit do të kenë aftësinë për të ekzekutuar në distancë komanda arbitrare. Raporti nga Unit42 zbulon se janë identifikuar tre variante të veçanta të PingPull. Dallimi kryesor midis tyre është protokolli i përdorur i komunikimit - ICMP, HTTPS ose TCP. Ka të ngjarë që hakerët e Gallium të zgjedhin variantin që do t'u sigurojë atyre shanset më të mira për t'iu shmangur metodave specifike të zbulimit të rrjetit ose mjeteve të sigurisë bazuar në informacionin e marrë më parë rreth objektivit.

Të tre variantet ekzistojnë në makinat e infiltruara si një shërbim që ka një përshkrim që imiton atë të një shërbimi legjitim. Komandat e njohura nga variantet janë gjithashtu të njëjta. Ato variojnë nga manipulimi i sistemit të skedarëve, ekzekutimi i komandave përmes cmd.exe, numërimi i vëllimeve të ruajtjes, aftësia për të ndërprerë skedarët dhe dërgimi i të dhënave në serverin Command-and-Control (C2, C&C) të operacionit. Trafiku në hyrje nga C2 është i koduar me algoritmin kriptografik AES. Për të deshifruar komandat dhe parametrat e tyre, beacon ka një palë çelësa të koduar.