Threat Database Trojans PingPull 恶意软件

PingPull 恶意软件

Gallim APT(高级持续威胁)组织一直在针对多个大洲的金融机构和政府实体发起攻击活动。更具体地说,这个可能是由中国赞助的黑客组织的最新行动已被用于打击俄罗斯、比利时、越南、柬埔寨、澳大利亚、菲律宾、马来西亚和阿富汗的目标。此外,根据 Palo Alto Network 的 Unit42 网络安全研究人员的说法,攻击者部署了一种新的特别隐蔽的 RAT(远程访问木马),被跟踪为“PingPull”。

PingPull 威胁旨在渗透目标设备,然后在其上创建反向外壳。之后,攻击者将有能力远程执行任意命令。 Unit42 的报告显示,已识别出三种不同的 PingPull 变体。它们之间的主要区别在于所使用的通信协议——ICMP、HTTPS 或 TCP。 Gallium 黑客很可能会根据先前获得的有关目标的信息选择能够为他们提供逃避特定网络检测方法或安全工具的最佳机会的变体。

所有这三种变体都作为服务存在于被渗透的机器上,其描述模仿了合法服务的描述。变体识别的命令也是一样的。它们的范围从操作文件系统、通过 cmd.exe 运行命令、枚举存储卷、时间停止文件的能力以及将数据发送到操作的命令和控制(C2、C&C)服务器。来自 C2 的传入流量使用 AES 加密算法进行加密。为了解密命令及其参数,信标具有一对硬编码的密钥。

趋势

最受关注

正在加载...