PingPull skadlig programvara

Gallim APT-gruppen (Advanced Persistent Threat) har drivit en attackkampanj riktad mot finansiella institutioner och statliga enheter över flera kontinenter. Mer specifikt har den här senaste operationen av den troliga kinesisksponsrade hackergruppen utnyttjats mot mål i Ryssland, Belgien, Vietnam, Kambodja, Australien, Filippinerna, Malaysia och Afghanistan. Dessutom, enligt cybersäkerhetsforskare vid Palo Alto Networks Unit42, har hotaktören distribuerat en ny särskilt smygande RAT (Remote Access Trojan) spårad som "PingPull."

PingPull-hotet är utformat för att infiltrera de riktade enheterna och sedan skapa ett omvänt skal på dem. Efteråt kommer angriparna att kunna utföra godtyckliga kommandon på distans. Rapporten från Unit42 avslöjar att tre separata varianter av PingPull har identifierats. Den stora skillnaden mellan dem är det använda kommunikationsprotokollet - ICMP, HTTPS eller TCP. Det är troligt att Gallium-hackarna väljer den variant som ger dem de bästa chanserna att undvika specifika nätverksdetekteringsmetoder eller säkerhetsverktyg baserat på tidigare inhämtad information om målet.

Alla tre varianterna finns på de infiltrerade maskinerna som en tjänst som har en beskrivning som efterliknar en legitim tjänst. Kommandon som känns igen av varianterna är också desamma. De sträcker sig från att manipulera filsystemet, köra kommandon via cmd.exe, räkna upp lagringsvolymerna, möjligheten att tidsstoppa filer och skicka data till kommando-och-kontroll-servern (C2, C&C) för operationen. Den inkommande trafiken från C2 krypteras med AES kryptografiska algoritm. För att dekryptera kommandona och deras parametrar har beacon ett par hårdkodade nycklar.