PingPull Malware

A Palo Alto's Unit 42 biztonsági kutatók felfedezték és elemezték a PingPull nevű rosszindulatú program új törzsét. Az új kártevő RAT képességekkel rendelkezik, és különösen nehéz észlelni.

A PingPull a legújabb eszköz a GALLIUM fejlett, tartós fenyegetésekkel foglalkozó szereplőjének arzenáljában, amelyet néha Softcellként is emlegetnek. Tekintettel a GALLIUM által megcélzott entitások földrajzi elhelyezkedésére és működési módjára, valamint a rosszindulatú programok használatára és az ismert kínai fenyegetés szereplőihez kapcsolódó működési módokra, azt jelenti, hogy a GALLIUM felszerelése nagy valószínűséggel szintén kínai, és az állam támogatja.

Maga a PingPull három különböző változatban kapható, amelyek három különböző protokollt használhatnak a rosszindulatú program C2-szervereivel való kommunikációhoz, még akkor is, ha mindhárom változat ugyanazokkal a képességekkel rendelkezik.

A trójai tizenkét különböző parancsot kínál, a cmd.exe Windows-folyamatot fordított shellként használja. Ezek a parancsok magukban foglalják a tárolómeghajtó felsorolását, az összes főbb fájlműveletet, beleértve a hexadecimális formátumba konvertálást, a fájlok időbélyegzését és a könyvtárak kezelését.

A kártevő telepítheti saját másolatát szolgáltatásként a feltört gépre, lemásolva az Iphlpsvc Windows szolgáltatás leírását, ezzel próbálva kikerülni az észlelést.

A trójai és a C2 infrastruktúra közötti kommunikáció AES segítségével titkosított.