Unit 42 Research からの新しい洞察: PingPull と呼ばれる、検出が困難な新しいリモート アクセス型トロイの木馬が、APT (Advanced Persistent Threat) グループである GALLIUM によって使用されていることが最近特定されました。 通信、政府、金融を対象としています。
Unit 42 は、複数の APT グループのインフラストラクチャを積極的に監視しています。 これらのグループの XNUMX つである GALLIUM (別名 Operation Soft Cell) は、東南アジア、ヨーロッパ、アフリカの通信会社を標的にすることで名を馳せました。 地理的な焦点、業界の焦点、および既知の中国のマルウェアと技術、戦術、および手順 (TTP) の使用と組み合わされた彼らの技術力により、これは中国の国家が支援する XNUMX つのグループの行為である可能性が高いという評価につながりました。
ガリウム: 攻撃フォーカスを拡大
この 42 年間、このグループは通信会社だけでなく、金融機関や政府機関にも攻撃を拡大しています。 この期間中、ユニット XNUMX の研究者は、アフガニスタン、オーストラリア、ベルギー、カンボジア、マレーシア、モザンビーク、フィリピン、ロシア、ベトナムで、GALLIUM インフラストラクチャとターゲットの間の複数のリンクを特定しました。 最も重要なことは、グループが PingPull と呼ばれる新しいリモート アクセス トロイの木馬を使用していることを発見したことです。
リモート アクセス型トロイの木馬 PingPull
PingPull は、コマンド アンド コントロール機能 (C2) に、ICMP、HTTP(S)、Raw TCP の 2 つのプロトコルを使用できます。 ICMP トンネリングの使用は新しい手法ではありませんが、PingPull は ICMP を使用して C42 通信を検出しにくくしています。ネットワークに ICMP トラフィック インスペクションを実装している組織はほとんどないためです。 Unit XNUMX の最新のブログでは、この新しいツールの詳細な内訳と、GALLIUM グループの最新のインフラストラクチャについて説明しています。
Palo Alto Networks のお客様は、脅威防御、高度な URL フィルタリング、DNS セキュリティ、Cortex XDR、およびマルウェア分析用の WildFire を通じて、前述の脅威に対する保護を受けます。 GALLIUM は、東南アジア、ヨーロッパ、およびアフリカの通信、金融、および政府機関にとって依然として脅威です。 過去 42 年間で、研究者は XNUMX か国に対する標的型攻撃を特定しました。 このグループは最近、スパイ活動を支援するために PingPull と呼ばれる新しい機能を使用しました。 Unit XNUMX は、入手可能な証拠を使用して、この脅威グループに対抗するための保護手段を講じることを推奨しています。
詳しくは PaloAltoNetworks.com をご覧ください
パロアルトネットワークスについて サイバーセキュリティ ソリューションのグローバル リーダーである Palo Alto Networks は、人々や企業の働き方を変革するテクノロジーによって、クラウドベースの未来を形作っています。 私たちの使命は、優先されるサイバーセキュリティ パートナーとなり、私たちのデジタル ライフを保護することです。 人工知能、分析、自動化、およびオーケストレーションにおける最新のブレークスルーを活用した継続的なイノベーションにより、世界最大のセキュリティの課題に対処するお手伝いをします。 統合プラットフォームを提供し、拡大するパートナーのエコシステムを強化することで、クラウド、ネットワーク、モバイル デバイス全体で何万もの企業を保護するリーダーとなっています。 私たちのビジョンは、毎日が以前よりも安全な世界です。