มัลแวร์ PingPull

กลุ่ม Gallim APT (Advanced Persistent Threat) ได้ดำเนินการรณรงค์โจมตีที่กำหนดเป้าหมายสถาบันการเงินและหน่วยงานของรัฐในหลายทวีป โดยเฉพาะอย่างยิ่ง การดำเนินการล่าสุดของกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากจีนนี้ ได้ใช้ประโยชน์จากเป้าหมายในรัสเซีย เบลเยียม เวียดนาม กัมพูชา ออสเตรเลีย ฟิลิปปินส์ มาเลเซีย และอัฟกานิสถาน นอกจากนี้ ตามที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Unit42 ของ Palo Alto Network ผู้คุกคามได้ปรับใช้ RAT (Remote Access Trojan) ที่ซ่อนเร้นโดยเฉพาะซึ่งถูกติดตามในชื่อ 'PingPull'

ภัยคุกคาม PingPull ได้รับการออกแบบมาเพื่อแทรกซึมอุปกรณ์เป้าหมาย และสร้างเปลือกย้อนกลับบนอุปกรณ์เหล่านั้น หลังจากนั้น ผู้โจมตีจะสามารถสั่งการจากระยะไกลได้ตามอำเภอใจ รายงานโดย Unit42 เปิดเผยว่า PingPull มีการระบุตัวแปรสามแบบแยกกัน ความแตกต่างที่สำคัญระหว่างพวกเขาคือโปรโตคอลการสื่อสารที่ใช้ - ICMP, HTTPS หรือ TCP มีแนวโน้มว่าแฮกเกอร์ Gallium จะเลือกตัวแปรที่จะให้โอกาสที่ดีที่สุดแก่พวกเขาในการหลบเลี่ยงวิธีการตรวจจับเครือข่ายเฉพาะหรือเครื่องมือรักษาความปลอดภัยตามข้อมูลที่ได้มาก่อนหน้านี้เกี่ยวกับเป้าหมาย

ตัวแปรทั้งสามมีอยู่ในเครื่องที่แทรกซึมเป็นบริการที่มีคำอธิบายที่เลียนแบบบริการที่ถูกต้อง คำสั่งที่ตัวแปรต่างๆ รู้จักก็เหมือนกัน ตั้งแต่การจัดการระบบไฟล์ การรันคำสั่งผ่าน cmd.exe การแจงนับปริมาณการจัดเก็บข้อมูล ความสามารถในการหยุดไฟล์ และการส่งข้อมูลไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของการดำเนินการ การรับส่งข้อมูลขาเข้าจาก C2 ถูกเข้ารหัสด้วยอัลกอริธึมการเข้ารหัส AES ในการถอดรหัสคำสั่งและพารามิเตอร์ บีคอนมีคีย์ฮาร์ดโค้ดคู่หนึ่ง