Logiciel malveillant PingPull
Les chercheurs en sécurité de l'unité 42 de Palo Alto ont découvert et analysé une nouvelle souche de malware appelée PingPull. Le nouveau malware a des capacités RAT et est particulièrement difficile à détecter.
PingPull est l'outil le plus récent de l'arsenal de l'acteur avancé de menaces persistantes GALLIUM, parfois appelé Softcell. Compte tenu de la géolocalisation des entités ciblées par GALLIUM et de leur mode de fonctionnement, ainsi que de leur utilisation de logiciels malveillants et de modes de fonctionnement déjà liés à des acteurs connus de la menace chinoise, cela signifie que la tenue GALLIUM est très probablement également chinoise et sponsorisée par l'État.
PingPull lui-même se décline en trois variantes différentes qui peuvent utiliser trois protocoles différents pour communiquer avec les serveurs C2 du malware, même si les trois variantes ont les mêmes capacités.
Le cheval de Troie propose douze commandes différentes, utilisant le processus Windows cmd.exe comme shell inversé. Ces commandes incluent l'énumération des lecteurs de stockage, toutes les opérations majeures avec des fichiers, y compris la conversion en hexadécimal, l'horodatage des fichiers et la manipulation des répertoires.
Le logiciel malveillant peut installer une copie de lui-même en tant que service sur la machine compromise, en copiant la description du service Windows Iphlpsvc, dans le but d'esquiver la détection.
La communication entre le cheval de Troie et son infrastructure C2 est cryptée à l'aide d'AES.