PingPull 惡意軟件
帕洛阿爾托 Unit 42 的安全研究人員發現並分析了一種名為 PingPull 的新型惡意軟件。新的惡意軟件具有 RAT 功能,並且特別難以檢測。
PingPull 是 GALLIUM 高級持續性威脅參與者(有時稱為 Softcell)的最新工具。鑑於 GALLIUM 所針對的實體的地理位置及其運作方式,以及他們使用惡意軟件和已經與已知的中國威脅行為者相關聯的運作方式,這意味著 GALLIUM 組織很可能也是中國人,並且是由國家贊助的。
PingPull 本身有三種不同的變體,它們可以使用三種不同的協議與惡意軟件的 C2 服務器進行通信,即使所有三種變體都具有相同的功能。
木馬提供十二種不同的命令,使用 cmd.exe Windows 進程作為反向 shell。這些命令包括存儲驅動器枚舉、文件的所有主要操作,包括轉換為十六進制、時間戳文件和操作目錄。
該惡意軟件可以在受感染的機器上安裝自身的副本作為服務,複製 Iphlpsvc Windows 服務的描述,以試圖躲避檢測。
木馬與其 C2 基礎設施之間的通信使用 AES 加密。