Nuevos conocimientos de Unit 42 Research: Un nuevo troyano de acceso remoto difícil de detectar llamado PingPull fue identificado recientemente como utilizado por GALLIUM, un grupo APT (Advanced Persistent Threat). Su objetivo son las telecomunicaciones, el gobierno y las finanzas.
La Unidad 42 monitorea activamente la infraestructura de varios grupos APT. Uno de estos grupos, GALLIUM (también conocido como Operation Soft Cell), se ha hecho un nombre al apuntar a empresas de telecomunicaciones en el sudeste asiático, Europa y África. El enfoque geográfico, el enfoque de la industria y su destreza técnica combinada con el uso de malware y técnicas, tácticas y procedimientos (TTP) chinos conocidos llevaron a la evaluación de que probablemente era un acto de un grupo patrocinado por el estado chino.
GALIO: enfoque de ataque ampliado
Durante el último año, este grupo ha ampliado sus ataques no solo a empresas de telecomunicaciones, sino también a instituciones financieras y gubernamentales. Durante este período, los investigadores de la Unidad 42 identificaron múltiples vínculos entre la infraestructura de GALLIUM y objetivos en Afganistán, Australia, Bélgica, Camboya, Malasia, Mozambique, Filipinas, Rusia y Vietnam. Lo que es más importante, descubrieron que el grupo estaba usando un nuevo troyano de acceso remoto llamado PingPull.
Troyano de acceso remoto PingPull
PingPull puede utilizar tres protocolos: ICMP, HTTP(S) y Raw TCP, para la función de comando y control (C2). Si bien el uso de túneles ICMP no es una técnica nueva, PingPull usa ICMP para hacer que sus comunicaciones C2 sean más difíciles de descubrir, ya que pocas organizaciones implementan la inspección de tráfico ICMP en sus redes. El último blog de Unit 42 proporciona un desglose detallado de esta nueva herramienta, así como la última infraestructura del Grupo GALLIUM.
Los clientes de Palo Alto Networks reciben protección contra las amenazas descritas a través de Threat Prevention, Advanced URL Filtering, DNS Security, Cortex XDR y WildFire para el análisis de malware. GALLIUM sigue siendo una amenaza activa para las organizaciones gubernamentales, financieras y de telecomunicaciones en el sudeste asiático, Europa y África. Durante el año pasado, los investigadores identificaron ataques dirigidos a nueve países. Este grupo ha utilizado recientemente una nueva habilidad llamada PingPull para ayudar en sus actividades de espionaje. La Unidad 42 recomienda usar la evidencia disponible para tomar medidas de protección para contrarrestar este grupo de amenazas.
Más en PaloAltoNetworks.com
Acerca de Palo Alto Networks Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.