PingPull Malware

Sikkerhetsforskere med Palo Altos Unit 42 oppdaget og analyserte en ny stamme av skadelig programvare kalt PingPull. Den nye skadevare har RAT-funksjoner og er spesielt vanskelig å oppdage.

PingPull er det nyeste verktøyet i arsenalet til GALLIUMs avanserte vedvarende trusselaktør, noen ganger referert til som Softcell. Gitt geolokaliseringen av enheter målrettet av GALLIUM og deres virkemåte, samt deres bruk av skadelig programvare og driftsmåter som allerede er knyttet til kjente kinesiske trusselaktører betyr at GALLIUM-antrekket også er kinesisk og er sponset av staten.

Selve PingPull kommer i tre forskjellige varianter som kan bruke tre forskjellige protokoller for å kommunisere med skadevarenes C2-servere, selv om alle tre variantene har samme evner.

Trojaneren tilbyr tolv forskjellige kommandoer, ved å bruke cmd.exe Windows-prosessen som et omvendt skall. Disse kommandoene inkluderer oppregning av lagringsstasjoner, alle større operasjoner med filer, inkludert konvertering til hex, tidsstempling av filer og manipulering av kataloger.

Skadevaren kan installere en kopi av seg selv som en tjeneste på den kompromitterte maskinen, kopiere beskrivelsen av Iphlpsvc Windows-tjenesten, i et forsøk på å unngå oppdagelse.

Kommunikasjon mellom trojaneren og dens C2-infrastruktur er kryptert med AES.