Κακόβουλο λογισμικό PingPull

Ερευνητές ασφαλείας με το Palo Alto's Unit 42 ανακάλυψαν και ανέλυσαν ένα νέο είδος κακόβουλου λογισμικού που ονομάζεται PingPull. Το νέο κακόβουλο λογισμικό έχει δυνατότητες RAT και είναι ιδιαίτερα δύσκολο να εντοπιστεί.

Το PingPull είναι το νεότερο εργαλείο στο οπλοστάσιο του προηγμένου παράγοντα επίμονης απειλής GALLIUM, που μερικές φορές αναφέρεται ως Softcell. Δεδομένης της γεωγραφικής θέσης των οντοτήτων που στοχεύουν το GALLIUM και του τρόπου λειτουργίας τους, καθώς και της χρήσης κακόβουλου λογισμικού και των τρόπων λειτουργίας που έχουν ήδη συνδεθεί με γνωστούς κινέζους παράγοντες απειλών σημαίνει ότι η εξάρτηση GALLIUM είναι επίσης πολύ πιθανό κινεζική και χρηματοδοτείται από το κράτος.

Το ίδιο το PingPull διατίθεται σε τρεις διαφορετικές παραλλαγές που μπορούν να χρησιμοποιήσουν τρία διαφορετικά πρωτόκολλα για την επικοινωνία με τους διακομιστές C2 του κακόβουλου λογισμικού, ακόμα κι αν και οι τρεις παραλλαγές έχουν τις ίδιες δυνατότητες.

Ο Trojan προσφέρει δώδεκα διαφορετικές εντολές, χρησιμοποιώντας τη διαδικασία cmd.exe των Windows ως αντίστροφο κέλυφος. Αυτές οι εντολές περιλαμβάνουν απαρίθμηση μονάδας αποθήκευσης, όλες τις σημαντικές λειτουργίες με αρχεία, συμπεριλαμβανομένης της μετατροπής σε δεκαεξαδικό, τη σήμανση αρχείων χρόνου και τον χειρισμό καταλόγων.

Το κακόβουλο λογισμικό μπορεί να εγκαταστήσει ένα αντίγραφο του εαυτού του ως υπηρεσία στο μηχάνημα που έχει παραβιαστεί, αντιγράφοντας την περιγραφή της υπηρεσίας Iphlpsvc των Windows, σε μια προσπάθεια να αποφύγει τον εντοπισμό.

Η επικοινωνία μεταξύ του trojan και της υποδομής C2 του είναι κρυπτογραφημένη χρησιμοποιώντας AES.