Эта коварная новая китайская вредоносная программа использует никогда ранее не встречавшийся троян
вычисления techradar.com Новости

Эта коварная новая китайская вредоносная программа использует никогда ранее не встречавшийся троян

14 июня 2022 г.

Известный китайский злоумышленник, спонсируемый государством, был замечен в использовании нового трояна удаленного доступа (RAT) в своих шпионских кампаниях против компаний по всему миру. Исследователи кибербезопасности из Unit 42, подразделения кибербезопасности Palo Alto Networks, недавно опубликовали отчет, в котором говорится, что Gallium, как известно, злоумышленник использует вредоносное ПО под названием PingPull.

PingPull — это «трудно обнаруживаемый» бэкдор, который взаимодействует со своим сервером управления и контроля (C2) по протоколу управляющих сообщений Интернета (ICMP), что встречается не так часто. Он построен на C++ и позволяет злоумышленникам запускать произвольные команды на скомпрометированной конечной точке.

«Образцы PingPull, которые используют ICMP для связи с C2, отправляют пакеты ICMP Echo Request (ping) на сервер C2», — говорится в отчете. «Сервер C2 ответит на эти эхо-запросы пакетом Echo Reply, чтобы выдать команды системе».

Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.

Таргетинг на телекоммуникационные компании

Группа 42 также обнаружила версии PingPull, которые взаимодействуют через HTTPS и TCP, а также более 170 IP-адресов что может быть связано с галлием.

По данным издания, спонсируемого государством злоумышленника впервые заметили десять лет назад, после чего его связали с атаками на пять крупных телекоммуникационных компаний в Юго-Восточной Азии. Также было замечено, что галлий атакует предприятия в Европе и Африке. Cybereason также называет это Soft Cell.

Подробнее

> Кибератаки истощают ресурсы телекоммуникаций

> Британские операторы интернет-телефонии пострадали от крупных кибератак

> Кибератаки на предприятия резко возросли в 2021 году

До сих пор не принято решение о том, как группе удалось скомпрометировать целевые сети, и СМИ предполагают, что она не сильно отклонилась от своей обычной методологии использования приложений, открытых в Интернете. Затем он будет использовать эти приложения для развертывания вирусов или веб-оболочки China Chopper.

«Галлий остается активной угрозой для телекоммуникационных, финансовых и правительственных организаций в Юго-Восточной Азии, Европе и Африке», — добавили исследователи. «Хотя использование туннелирования ICMP не является новым методом, PingPull использует ICMP, чтобы затруднить обнаружение своих соединений C2, поскольку лишь немногие организации реализуют проверку трафика ICMP в своих сетях».

Из: Hacker News

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE