Phần mềm độc hại PingPull

Nhóm Gallim APT (Mối đe dọa dai dẳng nâng cao) đã thực hiện một chiến dịch tấn công nhắm vào các tổ chức tài chính và các tổ chức chính phủ trên nhiều lục địa. Cụ thể hơn, hoạt động mới nhất này của nhóm hacker có khả năng do Trung Quốc tài trợ đã được tận dụng để chống lại các mục tiêu ở Nga, Bỉ, Việt Nam, Campuchia, Australia, Philippines, Malaysia và Afghanistan. Hơn nữa, theo các nhà nghiên cứu an ninh mạng tại Unit42 của Mạng lưới Palo Alto, kẻ đe dọa đã triển khai một RAT (Trojan truy cập từ xa) đặc biệt tàng hình mới được theo dõi là 'PingPull.'

Mối đe dọa PingPull được thiết kế để xâm nhập vào các thiết bị được nhắm mục tiêu và sau đó tạo ra một lớp vỏ ngược lại trên chúng. Sau đó, những kẻ tấn công sẽ có khả năng thực hiện các lệnh tùy ý từ xa. Báo cáo của Unit42 tiết lộ rằng ba biến thể riêng biệt của PingPull đã được xác định. Sự khác biệt chính giữa chúng là giao thức truyền thông được sử dụng - ICMP, HTTPS hoặc TCP. Có khả năng là tin tặc Gallium chọn biến thể sẽ cung cấp cho chúng cơ hội tốt nhất để trốn tránh các phương pháp phát hiện mạng cụ thể hoặc các công cụ bảo mật dựa trên thông tin thu được trước đó về mục tiêu.

Cả ba biến thể đều tồn tại trên các máy bị xâm nhập như một dịch vụ có mô tả bắt chước mô tả của một dịch vụ hợp pháp. Các lệnh được các biến thể nhận dạng cũng giống nhau. Chúng bao gồm thao tác trên hệ thống tệp, chạy lệnh qua cmd.exe, liệt kê dung lượng lưu trữ, khả năng định thời gian tệp và gửi dữ liệu đến máy chủ Command-and-Control (C2, C&C) của hoạt động. Lưu lượng đến từ C2 được mã hóa bằng thuật toán mật mã AES. Để giải mã các lệnh và các tham số của chúng, beacon có một cặp khóa mã cứng.