Шкідливе програмне забезпечення PingPull
Група Gallim APT (Advanced Persistent Threat) проводить атаку на фінансові установи та державні установи на кількох континентах. Точніше, ця остання операція ймовірної спонсорованої Китаєм хакерської групи була використана проти цілей у Росії, Бельгії, В’єтнамі, Камбоджі, Австралії, Філіппінах, Малайзії та Афганістані. Крім того, за словами дослідників кібербезпеки з відділу 42 Palo Alto Network, зловмисник розгорнув новий особливо скритий RAT (троян віддаленого доступу), який відстежується як «PingPull».
Загроза PingPull покликана проникнути на цільові пристрої, а потім створити на них зворотну оболонку. Після цього зловмисники матимуть можливість віддалено виконувати довільні команди. Звіт Unit42 показує, що було визначено три окремі варіанти PingPull. Основна відмінність між ними полягає у використовуваному протоколі зв'язку - ICMP, HTTPS або TCP. Ймовірно, що хакери Gallium виберуть варіант, який надасть їм найкращі шанси уникнути конкретних методів виявлення мережі або інструментів безпеки на основі раніше отриманої інформації про ціль.
Усі три варіанти існують на інфільтрованих машинах як служба, що має опис, що імітує опис законної служби. Команди, які розпізнаються варіантами, також однакові. Вони варіюються від маніпулювання файловою системою, запуску команд через cmd.exe, перерахування томів сховища, можливості зупиняти файли та надсилання даних на сервер командування та керування (C2, C&C) операції. Вхідний трафік із C2 шифрується за допомогою криптографічного алгоритму AES. Щоб розшифрувати команди та їх параметри, маяк має пару жорстко закодованих ключів.
