PingPull Malware

Ang grupong Gallim APT (Advanced Persistent Threat) ay nagpapatakbo ng isang kampanya sa pag-atake na nagta-target sa mga institusyong pampinansyal at mga entidad ng pamahalaan sa ilang kontinente. Higit na partikular, ang pinakabagong operasyon na ito ng malamang na Chinese-sponsored hacker group ay ginamit laban sa mga target sa Russia, Belgium, Vietnam, Cambodia, Australia, Philippines, Malaysia at Afghanistan. Higit pa rito, ayon sa cybersecurity researchers sa Palo Alto Network's Unit42, ang threat actor ay nag-deploy ng bago lalo na ang palihim na RAT (Remote Access Trojan) na sinusubaybayan bilang 'PingPull.'

Ang banta ng PingPull ay idinisenyo upang makalusot sa mga naka-target na device at pagkatapos ay lumikha ng reverse shell sa mga ito. Pagkatapos, ang mga umaatake ay magkakaroon ng kakayahang malayuang magsagawa ng mga di-makatwirang utos. Ang ulat ng Unit42 ay nagpapakita na tatlong magkahiwalay na variant ng PingPull ang natukoy. Ang pangunahing pagkakaiba sa pagitan nila ay ang ginagamit na protocol ng komunikasyon - ICMP, HTTPS o TCP. Malamang na pipiliin ng mga hacker ng Gallium ang variant na magbibigay sa kanila ng pinakamahusay na pagkakataon upang maiwasan ang mga partikular na paraan ng pag-detect ng network o mga tool sa seguridad batay sa dating nakuhang impormasyon tungkol sa target.

Ang lahat ng tatlong variant ay umiiral sa mga infiltrated na makina bilang isang serbisyo na may paglalarawan na ginagaya ang sa isang lehitimong serbisyo. Ang mga utos na kinikilala ng mga variant ay pareho din. Ang mga ito ay mula sa pagmamanipula sa file system, pagpapatakbo ng mga command sa pamamagitan ng cmd.exe, pag-enumerate ng mga volume ng storage, ang kakayahang mag-timestop ng mga file, at pagpapadala ng data sa Command-and-Control (C2, C&C) server ng operasyon. Ang papasok na trapiko mula sa C2 ay naka-encrypt gamit ang AES cryptographic algorithm. Upang i-decrypt ang mga command at ang kanilang mga parameter, ang beacon ay may isang pares ng mga hardcoded na key.