PingPull-Malware

Sicherheitsforscher der Unit 42 von Palo Alto entdeckten und analysierten einen neuen Malware-Stamm namens PingPull. Die neue Malware verfügt über RAT-Fähigkeiten und ist besonders schwer zu erkennen.

PingPull ist das neueste Tool im Arsenal des GALLIUM Advanced Persistent Threat Actor, manchmal auch als Softcell bezeichnet. Angesichts der Geolokalisierung von Einheiten, auf die GALLIUM abzielt, und ihrer Funktionsweise sowie ihrer Verwendung von Malware und ihrer Funktionsweise, die bereits mit bekannten chinesischen Bedrohungsakteuren in Verbindung gebracht werden, bedeutet dies, dass die GALLIUM-Gruppe sehr wahrscheinlich ebenfalls chinesisch ist und vom Staat gesponsert wird.

PingPull selbst gibt es in drei verschiedenen Varianten, die drei verschiedene Protokolle verwenden können, um mit den C2-Servern der Malware zu kommunizieren, auch wenn alle drei Varianten die gleichen Fähigkeiten haben.

Der Trojaner bietet zwölf verschiedene Befehle an und nutzt dabei den Windows-Prozess cmd.exe als Reverse-Shell. Diese Befehle umfassen die Aufzählung von Speicherlaufwerken, alle wichtigen Operationen mit Dateien, einschließlich der Konvertierung in Hex, Zeitstempeln von Dateien und Bearbeiten von Verzeichnissen.

Die Malware kann eine Kopie von sich selbst als Dienst auf dem kompromittierten Computer installieren und die Beschreibung des Windows-Dienstes Iphlpsvc kopieren, um der Erkennung zu entgehen.

Die Kommunikation zwischen dem Trojaner und seiner C2-Infrastruktur wird mit AES verschlüsselt.