PingPull-Malware

Die Gruppe Gallim APT (Advanced Persistent Threat) hat eine Angriffskampagne gegen Finanzinstitute und Regierungsbehörden auf mehreren Kontinenten durchgeführt. Genauer gesagt wurde diese jüngste Operation der wahrscheinlich von China gesponserten Hackergruppe gegen Ziele in Russland, Belgien, Vietnam, Kambodscha, Australien, den Philippinen, Malaysia und Afghanistan eingesetzt. Darüber hinaus hat der Bedrohungsakteur laut den Cybersicherheitsforschern der Unit42 von Palo Alto Network eine neue, besonders heimliche RAT (Remote Access Trojan) eingesetzt, die als „PingPull“ verfolgt wird.

Die PingPull-Bedrohung wurde entwickelt, um die Zielgeräte zu infiltrieren und dann eine umgekehrte Shell auf ihnen zu erstellen. Danach haben die Angreifer die Möglichkeit, beliebige Befehle aus der Ferne auszuführen. Der Bericht von Unit42 zeigt, dass drei verschiedene Varianten von PingPull identifiziert wurden. Der Hauptunterschied zwischen ihnen ist das verwendete Kommunikationsprotokoll - ICMP, HTTPS oder TCP. Es ist wahrscheinlich, dass die Gallium-Hacker die Variante auswählen, die ihnen die besten Chancen bietet, bestimmte Netzwerkerkennungsmethoden oder Sicherheitstools auf der Grundlage zuvor erlangter Informationen über das Ziel zu umgehen.

Alle drei Varianten existieren auf den infiltrierten Rechnern als Dienst, dessen Beschreibung die eines legitimen Dienstes nachahmt. Die von den Varianten erkannten Befehle sind ebenfalls gleich. Sie reichen von der Manipulation des Dateisystems, der Ausführung von Befehlen über cmd.exe, der Aufzählung der Speichervolumes, der Möglichkeit, Dateien zeitlich zu stoppen und dem Senden von Daten an den Command-and-Control-Server (C2, C&C) der Operation. Der eingehende Datenverkehr vom C2 wird mit dem kryptografischen AES-Algorithmus verschlüsselt. Um die Befehle und ihre Parameter zu entschlüsseln, verfügt der Beacon über ein Paar fest codierter Schlüssel.