Вредоносное ПО PingPull
Исследователи безопасности из подразделения 42 Пало-Альто обнаружили и проанализировали новый штамм вредоносного ПО под названием PingPull. Новое вредоносное ПО имеет возможности RAT, и его особенно трудно обнаружить.
PingPull — новейший инструмент в арсенале продвинутого субъекта постоянной угрозы GALLIUM, иногда называемого Softcell. Учитывая геолокацию объектов, на которые нацелен GALLIUM, и их режим работы, а также использование ими вредоносного ПО и режимы работы, уже связанные с известными китайскими злоумышленниками, это означает, что группа GALLIUM, скорее всего, тоже китайская и спонсируется государством.
Сам PingPull поставляется в трех разных вариантах, которые могут использовать три разных протокола для связи с C2-серверами вредоносного ПО, даже если все три варианта имеют одинаковые возможности.
Троянец предлагает двенадцать различных команд, используя процесс Windows cmd.exe в качестве обратной оболочки. Эти команды включают в себя перечисление накопителей, все основные операции с файлами, включая преобразование в шестнадцатеричный формат, добавление временных меток к файлам и управление каталогами.
Вредоносное ПО может установить свою копию в качестве службы на скомпрометированном компьютере, скопировав описание службы Windows Iphlpsvc, пытаясь избежать обнаружения.
Связь между трояном и его инфраструктурой C2 шифруется с помощью AES.