Malware PingPull

I ricercatori di sicurezza dell'Unità 42 di Palo Alto hanno scoperto e analizzato un nuovo ceppo di malware chiamato PingPull. Il nuovo malware ha funzionalità RAT ed è particolarmente difficile da rilevare.

PingPull è lo strumento più recente nell'arsenale dell'avanzato attore di minacce persistenti GALLIUM, a volte indicato come Softcell. Data la geolocalizzazione delle entità prese di mira da GALLIUM e la loro modalità operativa, nonché il loro utilizzo di malware e modalità operative già collegate con noti attori di minacce cinesi, è molto probabile che anche l'azienda GALLIUM sia cinese ed è sponsorizzata dallo stato.

PingPull stesso è disponibile in tre diverse varianti che possono utilizzare tre diversi protocolli per comunicare con i server C2 del malware, anche se tutte e tre le varianti hanno le stesse capacità.

Il Trojan offre dodici diversi comandi, utilizzando il processo di Windows cmd.exe come shell inversa. Questi comandi includono l'enumerazione dell'unità di archiviazione, tutte le principali operazioni con i file, inclusa la conversione in esadecimale, il timestamp dei file e la manipolazione delle directory.

Il malware può installare una copia di se stesso come servizio sulla macchina compromessa, copiando la descrizione del servizio Iphlpsvc Windows, nel tentativo di eludere il rilevamento.

La comunicazione tra il trojan e la sua infrastruttura C2 è crittografata tramite AES.