PingPull 恶意软件
帕洛阿尔托 Unit 42 的安全研究人员发现并分析了一种名为 PingPull 的新型恶意软件。新的恶意软件具有 RAT 功能,并且特别难以检测。
PingPull 是 GALLIUM 高级持续性威胁参与者(有时称为 Softcell)的最新工具。鉴于 GALLIUM 所针对的实体的地理位置及其运作方式,以及他们使用恶意软件和已经与已知的中国威胁行为者相关联的运作方式,这意味着 GALLIUM 组织很可能也是中国人,并且是由国家赞助的。
PingPull 本身有三种不同的变体,它们可以使用三种不同的协议与恶意软件的 C2 服务器进行通信,即使所有三种变体都具有相同的功能。
木马提供十二种不同的命令,使用 cmd.exe Windows 进程作为反向 shell。这些命令包括存储驱动器枚举、文件的所有主要操作,包括转换为十六进制、时间戳文件和操作目录。
该恶意软件可以在受感染的机器上安装自身的副本作为服务,复制 Iphlpsvc Windows 服务的描述,以试图躲避检测。
特洛伊木马与其 C2 基础设施之间的通信使用 AES 加密。