Un noto attore di minacce sponsorizzato dallo stato cinese è stato visto utilizzare un nuovo Trojan di accesso remoto (RAT) nelle sue campagne di spionaggio contro aziende di tutto il mondo. I ricercatori di cybersecurity dell'Unità 42, il braccio di cybersecurity di Palo Alto Networks, hanno recentemente pubblicato un rapporto in cui si afferma che Gallium, come è noto l'attore delle minacce, utilizza un malware (si apre in una nuova scheda) chiamato Ping Pull.
PingPull è una backdoor "difficile da rilevare" che comunica con il server di comando e controllo (C2) tramite il non così comune Internet Control Message Protocol (ICMP). Si basa su C++ e consente agli hacker di eseguire comandi arbitrari sull'endpoint compromesso (si apre in una nuova scheda).
"Gli esempi PingPull che utilizzano ICMP per le comunicazioni C2 inviano pacchetti ICMP echo request (ping) al server C2", afferma il rapporto. "Il server C2 risponderà a queste richieste echo con un pacchetto di risposta echo per inviare comandi al sistema."
telecomunicazioni di destinazione
L'unità 42 ha anche trovato versioni di PingPull che comunicano su HTTPS e TCP, nonché oltre 170 indirizzi IP (si apre in una nuova scheda) che possono essere associati a Gallium.
L'attore di minacce sponsorizzato dallo stato è stato individuato per la prima volta un decennio fa, dopodiché è stato collegato ad attacchi contro cinque importanti società di telecomunicazioni nel sud-est asiatico, secondo la pubblicazione. È stato anche osservato che il gallio attacca le imprese in Europa e in Africa. Cybereason lo chiama anche Soft Cell.
La giuria è ancora aperta su come il gruppo sia riuscito a compromettere le reti di destinazione, con i media che ipotizzano che non si sia discostato molto dalla sua metodologia abituale di sfruttamento delle applicazioni esposte a Internet. Utilizzerebbe quindi queste applicazioni per distribuire virus (si apre in una nuova scheda) o la shell web China Chopper.
"Il gallio rimane una minaccia attiva per le telecomunicazioni, la finanza e le organizzazioni governative nel sud-est asiatico, in Europa e in Africa", hanno aggiunto i ricercatori. "Sebbene l'uso dei tunnel ICMP non sia una tecnica nuova, PingPull utilizza ICMP per rendere difficile il rilevamento delle comunicazioni C2, poiché poche organizzazioni implementano l'ispezione del traffico ICMP sulle proprie reti."
Via: Hacker News (si apre in una nuova scheda)