Se ha visto a un conocido actor de amenazas patrocinado por el estado chino utilizando un nuevo troyano de acceso remoto (RAT) en sus campañas de espionaje contra empresas de todo el mundo. Los investigadores de seguridad cibernética de la Unidad 42, el brazo de seguridad cibernética de Palo Alto Networks, publicaron recientemente un informe que afirma que Gallium, como se conoce al actor de amenazas, usa malware (se abre en una nueva pestaña) llamado Ping Pull.
PingPull är en "svår att upptäcka" bakdörr som kommunicerar med din kommando- och kontrollserver (C2) via det inte så vanliga Internet Control Message Protocol (ICMP). Den är baserad på C++ och låter hackare köra godtyckliga kommandon på den komprometterade slutpunkten (öppnas i en ny flik).
"PingPull-prover som använder ICMP för C2-kommunikation skickar ICMP-ekobegäran (ping)-paket till C2-servern", står det i rapporten. "C2-servern kommer att svara på dessa ekoförfrågningar med ett ekosvarspaket för att skicka kommandon till systemet."
Telecomunicaciones de destino
Unit 42 también encontró versiones de PingPull que se comunican a través de HTTPS y TCP, así como más de 170 direcciones IP (se abre en una nueva pestaña) que podrían estar asociadas con Gallium.
El actor de amenazas patrocinado por el estado fue visto por primera vez hace una década, después de lo cual fue vinculado a ataques contra cinco importantes empresas de telecomunicaciones en el sudeste asiático, según la publicación. También se ha observado que el galio ataca empresas en Europa y África. Cybereason también lo llama Soft Cell.
El jurado aún está deliberando sobre cómo el grupo logró comprometer las redes de destino, y los medios especulan que no se desvió mucho de su metodología habitual de explotación de aplicaciones expuestas a Internet. Luego usaría estas aplicaciones para implementar virus (opens in a new tab) o el shell web de China Chopper.
"Gallium är fortfarande ett aktivt hot mot telekommunikation, finans och statliga organisationer i Sydostasien, Europa och Afrika", tillade forskarna. "Även om ICMP-tunnling inte är en ny teknik, använder PingPull ICMP för att göra sin C2-kommunikation svårare att upptäcka, eftersom få organisationer implementerar ICMP-trafikinspektion på sina nätverk."
Vía: Hacker News (se abre en una nueva pestaña)