PingPull 惡意軟件
Gallim APT(高級持續威脅)組織一直在針對多個大洲的金融機構和政府實體發起攻擊活動。更具體地說,這個可能是由中國贊助的黑客組織的最新行動已被用於打擊俄羅斯、比利時、越南、柬埔寨、澳大利亞、菲律賓、馬來西亞和阿富汗的目標。此外,根據 Palo Alto Network 的 Unit42 網絡安全研究人員的說法,攻擊者部署了一種新的特別隱蔽的 RAT(遠程訪問木馬),被跟踪為“PingPull”。
PingPull 威脅旨在滲透目標設備,然後在其上創建反向外殼。之後,攻擊者將有能力遠程執行任意命令。 Unit42 的報告顯示,已識別出三種不同的 PingPull 變體。它們之間的主要區別在於所使用的通信協議 - ICMP、HTTPS 或 TCP。 Gallium 黑客很可能會根據先前獲得的有關目標的信息選擇能夠為他們提供逃避特定網絡檢測方法或安全工具的最佳機會的變體。
所有這三種變體都作為服務存在於被滲透的機器上,其描述模仿了合法服務的描述。變體識別的命令也是一樣的。它們的範圍從操作文件系統、通過 cmd.exe 運行命令、枚舉存儲卷、時間停止文件的能力以及將數據發送到操作的命令和控制(C2、C&C)服務器。來自 C2 的傳入流量使用 AES 加密算法進行加密。為了解密命令及其參數,信標具有一對硬編碼的密鑰。
