Эта коварная новая китайская вредоносная программа использует никогда ранее не встречавшийся троян
14 июня 2022 г.Известный китайский злоумышленник, спонсируемый государством, был замечен в использовании нового трояна удаленного доступа (RAT) в своих шпионских кампаниях против компаний по всему миру. Исследователи кибербезопасности из Unit 42, подразделения кибербезопасности Palo Alto Networks, недавно опубликовали отчет, в котором говорится, что Gallium, как известно, злоумышленник использует вредоносное ПО под названием PingPull.
PingPull — это «трудно обнаруживаемый» бэкдор, который взаимодействует со своим сервером управления и контроля (C2) по протоколу управляющих сообщений Интернета (ICMP), что встречается не так часто. Он построен на C++ и позволяет злоумышленникам запускать произвольные команды на скомпрометированной конечной точке.
«Образцы PingPull, которые используют ICMP для связи с C2, отправляют пакеты ICMP Echo Request (ping) на сервер C2», — говорится в отчете. «Сервер C2 ответит на эти эхо-запросы пакетом Echo Reply, чтобы выдать команды системе».
Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.
Таргетинг на телекоммуникационные компании
Группа 42 также обнаружила версии PingPull, которые взаимодействуют через HTTPS и TCP, а также более 170 IP-адресов что может быть связано с галлием.
По данным издания, спонсируемого государством злоумышленника впервые заметили десять лет назад, после чего его связали с атаками на пять крупных телекоммуникационных компаний в Юго-Восточной Азии. Также было замечено, что галлий атакует предприятия в Европе и Африке. Cybereason также называет это Soft Cell.
До сих пор не принято решение о том, как группе удалось скомпрометировать целевые сети, и СМИ предполагают, что она не сильно отклонилась от своей обычной методологии использования приложений, открытых в Интернете. Затем он будет использовать эти приложения для развертывания вирусов или веб-оболочки China Chopper.
«Галлий остается активной угрозой для телекоммуникационных, финансовых и правительственных организаций в Юго-Восточной Азии, Европе и Африке», — добавили исследователи. «Хотя использование туннелирования ICMP не является новым методом, PingPull использует ICMP, чтобы затруднить обнаружение своих соединений C2, поскольку лишь немногие организации реализуют проверку трафика ICMP в своих сетях».
Из: Hacker News
Оригинал