PingPull kenkėjiška programa

Saugumo tyrinėtojai su Palo Alto padaliniu 42 atrado ir išanalizavo naują kenkėjiškų programų atmainą, vadinamą PingPull. Naujoji kenkėjiška programa turi RAT galimybes ir ją ypač sunku aptikti.

PingPull yra naujausias įrankis GALLIUM pažangių nuolatinių grėsmių veikėjo, kartais vadinamo Softcell, arsenale. Atsižvelgiant į subjektų, kuriems taikoma GALLIUM, geografinę vietą ir jų veikimo būdą, taip pat į tai, kad jie naudoja kenkėjiškas programas ir veikimo būdus, jau susietus su žinomais Kinijos grėsmės veikėjais, reiškia, kad GALLIUM apranga taip pat yra kiniška ir yra remiama valstybės.

Pati „PingPull“ yra trijų skirtingų variantų, kurie gali naudoti tris skirtingus protokolus, kad galėtų susisiekti su kenkėjiškos programos C2 serveriais, net jei visi trys variantai turi tas pačias galimybes.

Trojos arklys siūlo dvylika skirtingų komandų, naudodamas cmd.exe Windows procesą kaip atvirkštinį apvalkalą. Šios komandos apima saugojimo disko išvardijimą, visas pagrindines operacijas su failais, įskaitant konvertavimą į šešioliktainį formatą, laiko žymėjimą failais ir manipuliavimą katalogais.

Kenkėjiška programa gali įdiegti savo, kaip paslaugos, kopiją pažeistame kompiuteryje, nukopijuodama „Iphlpsvc Windows“ paslaugos aprašą, bandydama išvengti aptikimo.

Ryšys tarp Trojos arklys ir jo C2 infrastruktūros yra užšifruotas naudojant AES.