Novos insights da Unit 42 Research: Um novo Trojan de acesso remoto difícil de detectar chamado PingPull foi recentemente identificado como sendo usado pelo GALLIUM, um grupo APT (Advanced Persistent Threat). Destina-se a telecomunicações, governo e finanças.
A unidade 42 monitora ativamente a infraestrutura de vários grupos APT. Um desses grupos, o GALLIUM (também conhecido como Operação Soft Cell), fez seu nome ao visar empresas de telecomunicações no Sudeste Asiático, Europa e África. Foco geográfico, foco na indústria e suas proezas técnicas combinadas com o uso de malware chinês conhecido e Técnicas, Táticas e Procedimentos (TTPs) levaram à avaliação de que era provável que um grupo patrocinado pelo estado chinês atuasse.
GÁLIO: Foco de Ataque expandido
No ano passado, esse grupo expandiu seus ataques não apenas para empresas de telecomunicações, mas também para instituições financeiras e governamentais. Durante esse período, os pesquisadores da Unidade 42 identificaram vários vínculos entre a infraestrutura do GALLIUM e alvos no Afeganistão, Austrália, Bélgica, Camboja, Malásia, Moçambique, Filipinas, Rússia e Vietnã. Mais importante, eles descobriram que o grupo estava usando um novo trojan de acesso remoto chamado PingPull.
Trojan de acesso remoto PingPull
O PingPull é capaz de usar três protocolos - ICMP, HTTP(S) e Raw TCP - para a função de comando e controle (C2). Embora o uso de tunelamento ICMP não seja uma técnica nova, o PingPull usa o ICMP para tornar suas comunicações C2 mais difíceis de descobrir, já que poucas organizações implementam a inspeção de tráfego ICMP em suas redes. O blog mais recente da Unit 42 fornece uma análise detalhada dessa nova ferramenta, bem como da infraestrutura mais recente do GALLIUM Group.
Os clientes da Palo Alto Networks recebem proteção contra as ameaças descritas por meio de Threat Prevention, Advanced URL Filtering, DNS Security, Cortex XDR e WildFire para análise de malware. GALLIUM continua sendo uma ameaça ativa para organizações de telecomunicações, financeiras e governamentais no sudeste da Ásia, Europa e África. No ano passado, os pesquisadores identificaram ataques direcionados a nove países. Este grupo recentemente usou uma nova habilidade chamada PingPull para auxiliar em suas atividades de espionagem. A Unidade 42 recomenda usar as evidências disponíveis para tomar medidas de proteção para combater esse grupo de ameaças.
Mais em PaloAltoNetworks.com
Sobre a Palo Alto Networks A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.