Neue Erkenntnisse von Unit 42 Research: kürzlich wurde ein neuer, schwer zu entdeckenden Remote-Access-Trojaner namens PingPull identifiziert, der von GALLIUM, einer APT-Gruppe (Advanced Persistent Threat), eingesetzt wird. Er zielt auf Telekommunikation, Behörden und Finanzen.
Unit 42 überwacht aktiv die Infrastruktur mehrerer APT-Gruppen. Eine dieser Gruppen, GALLIUM (auch bekannt als Operation Soft Cell), hat sich einen Namen gemacht, indem sie Telekommunikationsunternehmen in Südostasien, Europa und Afrika ins Visier nahm. Die geografische Ausrichtung, der Branchenfokus und ihre technischen Fähigkeiten in Verbindung mit der Verwendung bekannter chinesischer Malware sowie Taktiken, Techniken und Verfahren (Techniques, Tactics, and Procedures, TTPs) haben zu der Einschätzung geführt, dass es sich wahrscheinlich um eine vom chinesischen Staat gesponserte Gruppe handelt.
GALLIUM: Angriffsfokus erweitert
Im Laufe des letzten Jahres hat diese Gruppe ihre Angriffe nicht nur auf Telekommunikationsunternehmen, sondern auch auf Finanzinstitute und staatliche Einrichtungen ausgeweitet. In diesem Zeitraum haben die Forscher von Unit 42 mehrere Verbindungen zwischen der GALLIUM-Infrastruktur und Zielpersonen in Afghanistan, Australien, Belgien, Kambodscha, Malaysia, Mosambik, den Philippinen, Russland und Vietnam festgestellt. Vor allem aber haben sie festgestellt, dass die Gruppe einen neuen Fernzugriffstrojaner namens PingPull einsetzt.
Fernzugriffstrojaner PingPull
PingPull ist in der Lage, drei Protokolle – ICMP, HTTP(S) und Raw TCP – für die Befehls- und Kontrollfunktion (C2) zu nutzen. Die Verwendung von ICMP-Tunneling ist zwar keine neue Technik, doch PingPull nutzt ICMP, um die Entdeckung seiner C2-Kommunikation zu erschweren, da nur wenige Unternehmen eine Überprüfung des ICMP-Verkehrs in ihren Netzwerken implementieren. Der aktuelle Blog von Unit 42 bietet eine detaillierte Aufschlüsselung dieses neuen Tools sowie der jüngsten Infrastruktur der GALLIUM-Gruppe.
Kunden von Palo Alto Networks erhalten Schutz vor den beschriebenen Bedrohungen durch Threat Prevention, Advanced URL Filtering, DNS Security, Cortex XDR und WildFire für Malware-Analyse. GALLIUM bleibt eine aktive Bedrohung für Telekommunikations- und Finanzunternehmen sowie Regierungsorganisationen in Südostasien, Europa und Afrika. Im Laufe des letzten Jahres haben die Forscher gezielte Angriffe auf neun Länder festgestellt. Diese Gruppe hat zuletzt eine neue Fähigkeit namens PingPull zur Unterstützung ihrer Spionageaktivitäten eingesetzt. Unit 42 empfiehlt, die vorliegenden Erkenntnisse zu nutzen, um Schutzmaßnahmen zur Abwehr dieser Bedrohungsgruppe zu ergreifen.
Mehr bei PaloAltoNetworks.com
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.