Nouvelles informations de Unit 42 Research : Un nouveau cheval de Troie d'accès à distance difficile à détecter appelé PingPull a récemment été identifié comme étant utilisé par GALLIUM, un groupe APT (Advanced Persistent Threat). Il cible les télécommunications, le gouvernement et la finance.
L'unité 42 surveille activement l'infrastructure de plusieurs groupes APT. L'un de ces groupes, GALLIUM (alias Operation Soft Cell), s'est fait un nom en ciblant les entreprises de télécommunications en Asie du Sud-Est, en Europe et en Afrique. La concentration géographique, la concentration sur l'industrie et leurs prouesses techniques combinées à l'utilisation de logiciels malveillants chinois connus et de techniques, tactiques et procédures (TTP) ont conduit à l'évaluation qu'il s'agissait probablement d'un groupe d'actes parrainés par l'État chinois.
GALLIUM : focus d'attaque étendu
Au cours de l'année écoulée, ce groupe a étendu ses attaques non seulement aux entreprises de télécommunications, mais également aux institutions financières et gouvernementales. Au cours de cette période, les chercheurs de l'unité 42 ont identifié de multiples liens entre l'infrastructure GALLIUM et des cibles en Afghanistan, en Australie, en Belgique, au Cambodge, en Malaisie, au Mozambique, aux Philippines, en Russie et au Vietnam. Plus important encore, ils ont découvert que le groupe utilisait un nouveau cheval de Troie d'accès à distance appelé PingPull.
Cheval de Troie d'accès à distance PingPull
PingPull est capable d'utiliser trois protocoles - ICMP, HTTP(S) et Raw TCP - pour la fonction de commande et de contrôle (C2). Bien que l'utilisation du tunneling ICMP ne soit pas une technique nouvelle, PingPull utilise ICMP pour rendre ses communications C2 plus difficiles à découvrir, car peu d'organisations mettent en œuvre l'inspection du trafic ICMP sur leurs réseaux. Le dernier blog d'Unit 42 présente en détail ce nouvel outil ainsi que les dernières infrastructures du Groupe GALLIUM.
Les clients de Palo Alto Networks bénéficient d'une protection contre les menaces décrites via Threat Prevention, Advanced URL Filtering, DNS Security, Cortex XDR et WildFire pour l'analyse des logiciels malveillants. GALLIUM reste une menace active pour les organisations de télécommunications, financières et gouvernementales en Asie du Sud-Est, en Europe et en Afrique. Au cours de l'année écoulée, des chercheurs ont identifié des attaques ciblées contre neuf pays. Ce groupe a récemment utilisé une nouvelle capacité appelée PingPull pour les aider dans leurs activités d'espionnage. L'unité 42 recommande d'utiliser les preuves disponibles pour prendre des mesures de protection afin de contrer ce groupe de menaces.
Plus sur PaloAltoNetworks.com
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.