PingPull Kötü Amaçlı Yazılım

Gallim APT (Gelişmiş Kalıcı Tehdit) grubu, birkaç kıtada finans kurumlarını ve devlet kurumlarını hedef alan bir saldırı kampanyası yürütüyor. Daha spesifik olarak, muhtemel Çin destekli hacker grubunun bu son operasyonu, Rusya, Belçika, Vietnam, Kamboçya, Avustralya, Filipinler, Malezya ve Afganistan'daki hedeflere karşı kullanıldı. Ayrıca, Palo Alto Network'ün Unit42'sindeki siber güvenlik araştırmacılarına göre, tehdit aktörü 'PingPull' olarak izlenen yeni ve özellikle gizli bir RAT (Uzaktan Erişim Truva Atı) yerleştirdi.

PingPull tehdidi, hedeflenen cihazlara sızmak ve ardından üzerlerinde ters bir kabuk oluşturmak için tasarlanmıştır. Daha sonra, saldırganlar isteğe bağlı komutları uzaktan yürütme yeteneğine sahip olacak. Unit42 tarafından hazırlanan rapor, PingPull'un üç ayrı varyantının tanımlandığını ortaya koyuyor. Aralarındaki en büyük fark, kullanılan iletişim protokolüdür - ICMP, HTTPS veya TCP. Gallium korsanlarının, hedef hakkında önceden edinilmiş bilgilere dayalı olarak belirli ağ algılama yöntemlerinden veya güvenlik araçlarından kaçmak için onlara en iyi şansı sağlayacak varyantı seçmesi muhtemeldir.

Her üç varyant da, sızan makinelerde, meşru bir hizmetin tanımını taklit eden bir açıklamaya sahip bir hizmet olarak bulunur. Varyantlar tarafından tanınan komutlar da aynıdır. Dosya sistemini manipüle etmekten, cmd.exe aracılığıyla komutları çalıştırmaktan, depolama birimlerini numaralandırmaktan, dosyaları zaman durdurma yeteneğine ve işlemin Komut ve Kontrol (C2, C&C) sunucusuna veri göndermeye kadar uzanır. C2'den gelen trafik, AES şifreleme algoritması ile şifrelenir. Komutların ve parametrelerinin şifresini çözmek için işaretin bir çift sabit kodlanmış anahtarı vardır.