PingPullマルウェア
PaloAltoのUnit42のセキュリティ研究者は、PingPullと呼ばれるマルウェアの新種を発見して分析しました。新しいマルウェアにはRAT機能があり、特に検出が困難です。
PingPullは、GALLIUMの高度な持続的脅威アクター(Softcellと呼ばれることもあります)の最新ツールです。 GALLIUMの対象となるエンティティの地理的位置とその運用モード、および既知の中国の脅威アクターとすでにリンクされているマルウェアと運用モードの使用を考えると、GALLIUMの衣装も中国人である可能性が非常に高く、州が後援しています。
PingPull自体には3つのバリエーションがあり、3つのバリエーションすべてが同じ機能を持っている場合でも、3つの異なるプロトコルを使用してマルウェアのC2サーバーと通信できます。
このトロイの木馬は、cmd.exe Windowsプロセスをリバースシェルとして使用して、12種類のコマンドを提供します。これらのコマンドには、ストレージドライブの列挙、16進数への変換、ファイルのタイムスタンプ、ディレクトリの操作など、ファイルを使用したすべての主要な操作が含まれます。
マルウェアは、検出を回避するために、侵入先のマシンにサービスとして自身のコピーをインストールし、IphlpsvcWindowsサービスの説明をコピーする可能性があります。
トロイの木馬とそのC2インフラストラクチャ間の通信は、AESを使用して暗号化されます。