Este nuevo malware chino furtivo utiliza un troyano nunca antes

En känd kinesisk statssponsrad hotaktör har setts använda en ny Remote Access Trojan (RAT) i sina spionkampanjer mot företag runt om i världen. Cybersäkerhetsforskare vid Unit 42, Palo Alto Networks cybersäkerhetsarm, släppte nyligen en rapport som hävdar att Gallium, som hotaktören är känd, använder skadlig programvara (öppnas i en ny flik) som heter Ping Pull.

PingPull är en "svår att upptäcka" bakdörr som kommunicerar med din kommando- och kontrollserver (C2) via det inte så vanliga Internet Control Message Protocol (ICMP). Den är baserad på C++ och tillåter hackare att utföra godtyckliga kommandon på den komprometterade slutpunkten (öppnas i en ny flik).

"PingPull-prover som använder ICMP för C2-kommunikation skickar ICMP-ekobegäran (ping)-paket till C2-servern", står det i rapporten. "Server C2 kommer att svara på dessa ekoförfrågningar med ett ekosvarspaket för att skicka kommandon till systemet."

destination telekommunikation

Enhet 42 hittade också versioner av PingPull som kommunicerar över HTTPS och TCP, samt över 170 IP-adresser (öppnas i en ny flik) som kan vara associerade med Gallium.

Den statligt sponsrade hotaktören upptäcktes först för ett decennium sedan, varefter den kopplades till attacker mot fem stora telekommunikationsföretag i Sydostasien, enligt publikationen. Gallium har också observerats attackera företag i Europa och Afrika. Cybereason kallar det också Soft Cell.

Juryn är fortfarande ute på hur gruppen lyckades kompromissa med målnätverk, med media som spekulerar i att de inte avvek mycket från sin vanliga metodik för att utnyttja Internet-exponerade applikationer. Det skulle sedan använda dessa applikationer för att distribuera virus (öppnas i en ny flik) eller China Choppers webbskal.

"Gallium är fortfarande ett aktivt hot mot telekommunikation, finans och statliga organisationer i Sydostasien, Europa och Afrika", tillade forskarna. "Även om användningen av ICMP-tunnlar inte är en ny teknik, använder PingPull ICMP för att göra det svårare att upptäcka sin C2-kommunikation, eftersom få organisationer implementerar ICMP-trafikinspektion på sina nätverk."

Via: Hacker News (öppnas i en ny flik)

Dela detta