Nuovi approfondimenti dalla ricerca dell'Unità 42: un nuovo trojan di accesso remoto difficile da rilevare chiamato PingPull è stato recentemente identificato come utilizzato da GALLIUM, un gruppo APT (Advanced Persistent Threat). Si rivolge alle telecomunicazioni, al governo e alla finanza.
L'Unità 42 monitora attivamente l'infrastruttura di diversi gruppi APT. Uno di questi gruppi, GALLIUM (alias Operation Soft Cell), si è fatto un nome prendendo di mira le società di telecomunicazioni nel sud-est asiatico, in Europa e in Africa. L'attenzione geografica, l'attenzione al settore e la loro abilità tecnica combinata con l'uso di noti malware cinesi e tecniche, tattiche e procedure (TTP) hanno portato alla valutazione che si trattava probabilmente di un atto di un gruppo sponsorizzato dallo stato cinese.
GALLIUM: focus attacco ampliato
Nell'ultimo anno, questo gruppo ha esteso i suoi attacchi non solo alle società di telecomunicazioni, ma anche alle istituzioni finanziarie e governative. Durante questo periodo, i ricercatori dell'Unità 42 hanno identificato molteplici collegamenti tra l'infrastruttura GALLIUM e obiettivi in Afghanistan, Australia, Belgio, Cambogia, Malesia, Mozambico, Filippine, Russia e Vietnam. Soprattutto, hanno scoperto che il gruppo stava utilizzando un nuovo trojan di accesso remoto chiamato PingPull.
Trojan ad accesso remoto PingPull
PingPull è in grado di utilizzare tre protocolli - ICMP, HTTP(S) e Raw TCP - per la funzione di comando e controllo (C2). Sebbene l'uso del tunneling ICMP non sia una tecnica nuova, PingPull utilizza ICMP per rendere le sue comunicazioni C2 più difficili da scoprire, poiché poche organizzazioni implementano l'ispezione del traffico ICMP sulle proprie reti. L'ultimo blog di Unit 42 fornisce un'analisi dettagliata di questo nuovo strumento e dell'ultima infrastruttura del GALLIUM Group.
I clienti di Palo Alto Networks ricevono protezione contro le minacce descritte tramite Threat Prevention, Advanced URL Filtering, DNS Security, Cortex XDR e WildFire per l'analisi del malware. GALLIUM rimane una minaccia attiva per le organizzazioni di telecomunicazioni, finanziarie e governative nel sud-est asiatico, in Europa e in Africa. Nell'ultimo anno, i ricercatori hanno identificato attacchi mirati a nove paesi. Questo gruppo ha recentemente utilizzato una nuova abilità chiamata PingPull per aiutare nelle loro attività di spionaggio. L'Unità 42 raccomanda di utilizzare le prove disponibili per adottare misure protettive per contrastare questo gruppo di minacce.
Altro su PaloAltoNetworks.com
A proposito di Palo Alto Networks Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.