PingPull Malware

Група Галлим АПТ (Адванцед Персистент Тхреат) води кампању напада усмерену на финансијске институције и владине ентитете на неколико континената. Тачније, ова најновија операција вероватно спонзорисане од Кине хакерске групе била је искоришћена против циљева у Русији, Белгији, Вијетнаму, Камбоџи, Аустралији, Филипинима, Малезији и Авганистану. Штавише, према истраживачима сајбер безбедности у Пало Алто Нетворкс Унит42, актер претње је применио нови посебно прикривени РАТ (тројанац за даљински приступ) праћен као „ПингПулл“.

Претња ПингПулл је дизајнирана да се инфилтрира у циљане уређаје, а затим створи обрнуту шкољку на њима. Након тога, нападачи ће имати могућност да даљински извршавају произвољне команде. Извештај Унит42 открива да су идентификоване три одвојене варијанте ПингПулл-а. Главна разлика између њих је коришћени комуникациони протокол - ИЦМП, ХТТПС или ТЦП. Вероватно је да хакери из Галијума изаберу варијанту која ће им пружити најбоље шансе да избегну специфичне методе детекције мреже или безбедносне алате на основу претходно добијених информација о мети.

Све три варијанте постоје на инфилтрираним машинама као услуга која има опис који опонаша опис легитимне услуге. Команде које препознају варијанте су такође исте. Они се крећу од манипулисања системом датотека, покретања команди преко цмд.еке, набрајања волумена складиштења, могућности да се датотеке временски зауставе и слања података на сервер за команду и контролу (Ц2, Ц&Ц) операције. Долазни саобраћај са Ц2 је шифрован АЕС криптографским алгоритмом. За дешифровање команди и њихових параметара, светионик има пар чврсто кодираних кључева.