En välkänd kinesisk statssponsrad hotaktör har setts använda en ny Remote Access Trojan (RAT) i sina spionagekampanjer mot företag runt om i världen. Cybersäkerhetsforskare från Unit 42, Palo Alto Networks cybersäkerhetsarm, publicerade nyligen en rapport som hävdar att Gallium, som hotaktören är känd, använder skadlig programvara (öppnas i en ny flik) som heter Ping Pull.
PingPull är en "svår att upptäcka" bakdörr som kommunicerar med din kommando- och kontrollserver (C2) via det inte så vanliga Internet Control Message Protocol (ICMP). Den är baserad på C++ och låter hackare köra godtyckliga kommandon på den komprometterade slutpunkten (öppnas i en ny flik).
"PingPull-prover som använder ICMP för C2-kommunikation skickar ICMP-ekobegäran (ping)-paket till C2-servern", står det i rapporten. "C2-servern kommer att svara på dessa ekoförfrågningar med ett ekosvarspaket för att skicka kommandon till systemet."
Mål telekommunikation
Enhet 42 hittade också versioner av PingPull som kommunicerar över HTTPS och TCP, samt mer än 170 IP-adresser (öppnas i en ny flik) som kan associeras med Gallium.
Den statligt sponsrade hotaktören upptäcktes först för ett decennium sedan, varefter den kopplades till attacker mot fem stora telekommunikationsföretag i Sydostasien, enligt publikationen. Gallium har också observerats attackera företag i Europa och Afrika. Cybereason kallar honom också Soft Cell.
Juryn är fortfarande ute på hur gruppen lyckades kompromissa med målnätverk, med media som spekulerar i att den inte avvek mycket från sin vanliga metodik för att utnyttja Internet-exponerade applikationer. Du skulle sedan använda dessa applikationer för att distribuera virus (öppnas i en ny flik) eller China Choppers webbskal.
"Gallium är fortfarande ett aktivt hot mot telekommunikation, finans och statliga organisationer i Sydostasien, Europa och Afrika", tillade forskarna. "Även om ICMP-tunnling inte är en ny teknik, använder PingPull ICMP för att göra sin C2-kommunikation svårare att upptäcka, eftersom få organisationer implementerar ICMP-trafikinspektion på sina nätverk."
Via: Hacker News (öppnas i en ny flik)