Remote-Access-Trojaner PingPull attackiert auch Finanzinstitute

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Neue Erkenntnisse von Unit 42 Research: kürzlich wurde ein neuer, schwer zu entdeckenden Remote-Access-Trojaner namens PingPull identifiziert, der von GALLIUM, einer APT-Gruppe (Advanced Persistent Threat), eingesetzt wird. Er zielt auf Telekommunikation, Behörden und Finanzen.

Unit 42 überwacht aktiv die Infrastruktur mehrerer APT-Gruppen. Eine dieser Gruppen, GALLIUM (auch bekannt als Operation Soft Cell), hat sich einen Namen gemacht, indem sie Telekommunikationsunternehmen in Südostasien, Europa und Afrika ins Visier nahm. Die geografische Ausrichtung, der Branchenfokus und ihre technischen Fähigkeiten in Verbindung mit der Verwendung bekannter chinesischer Malware sowie Taktiken, Techniken und Verfahren (Techniques, Tactics, and Procedures, TTPs) haben zu der Einschätzung geführt, dass es sich wahrscheinlich um eine vom chinesischen Staat gesponserte Gruppe handelt.

Anzeige

GALLIUM: Angriffsfokus erweitert

Im Laufe des letzten Jahres hat diese Gruppe ihre Angriffe nicht nur auf Telekommunikationsunternehmen, sondern auch auf Finanzinstitute und staatliche Einrichtungen ausgeweitet. In diesem Zeitraum haben die Forscher von Unit 42 mehrere Verbindungen zwischen der GALLIUM-Infrastruktur und Zielpersonen in Afghanistan, Australien, Belgien, Kambodscha, Malaysia, Mosambik, den Philippinen, Russland und Vietnam festgestellt. Vor allem aber haben sie festgestellt, dass die Gruppe einen neuen Fernzugriffstrojaner namens PingPull einsetzt.

Fernzugriffstrojaner PingPull

PingPull ist in der Lage, drei Protokolle – ICMP, HTTP(S) und Raw TCP – für die Befehls- und Kontrollfunktion (C2) zu nutzen. Die Verwendung von ICMP-Tunneling ist zwar keine neue Technik, doch PingPull nutzt ICMP, um die Entdeckung seiner C2-Kommunikation zu erschweren, da nur wenige Unternehmen eine Überprüfung des ICMP-Verkehrs in ihren Netzwerken implementieren. Der aktuelle Blog von Unit 42 bietet eine detaillierte Aufschlüsselung dieses neuen Tools sowie der jüngsten Infrastruktur der GALLIUM-Gruppe.

Anzeige

Kunden von Palo Alto Networks erhalten Schutz vor den beschriebenen Bedrohungen durch Threat Prevention, Advanced URL Filtering, DNS Security, Cortex XDR und WildFire für Malware-Analyse. GALLIUM bleibt eine aktive Bedrohung für Telekommunikations- und Finanzunternehmen sowie Regierungsorganisationen in Südostasien, Europa und Afrika. Im Laufe des letzten Jahres haben die Forscher gezielte Angriffe auf neun Länder festgestellt. Diese Gruppe hat zuletzt eine neue Fähigkeit namens PingPull zur Unterstützung ihrer Spionageaktivitäten eingesetzt. Unit 42 empfiehlt, die vorliegenden Erkenntnisse zu nutzen, um Schutzmaßnahmen zur Abwehr dieser Bedrohungsgruppe zu ergreifen.

Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Lösegeldzahlungen steigen im Schnitt auf fast 1 Mill. Dollar

Palo Alto Networks meldet: Durchschnittliche Lösegeldzahlungen bei Ransomware steigen in diesem Jahr um 71 Prozent und nähern sich der 1-Million-Dollar-Grenze. ➡ Weiterlesen

Lapsus$-Gruppe – Erkenntnissen zur spektakulärer Angriffsserie

Die Cyberkriminelle Lapsus$-Gruppe sorgte die letzten Monate für Schlagzeilen. Palo Alto Networks informiert mit Erkenntnissen zur spektakulärer Angriffsserie und seinem ➡ Weiterlesen

Cyberangriffe in der Ukraine durch russische Hackergruppe „Gamaredon“

Bereits vor den aktuellen Cyber-Angriffen auf die Ukraine und deren KRITIS gab es Attacken, die von der Unit 42 von ➡ Weiterlesen

ESET enttarnt Struktur der Spionage-APT-Gruppe TA410 

ESET Research enthüllt ein detailliertes Profil von TA410, einer Cyber-Spionage-Gruppierung, die lose mit APT10 kooperiert. Diese ist bekannt dafür, US-amerikanische ➡ Weiterlesen

BSI listet CrowdStrike als qualifizierten APT-Response-Dienstleister

CrowdStrike, ein führender Anbieter von Cloud-basiertem Schutz von Endgeräten, Workloads, Identitäten und Daten, wurde in die Liste der qualifizierten APT-Response-Dienstleister ➡ Weiterlesen

Webinar 21. April 2022: Resilienz gegen Cyber-Spionage-Kampagnen

Trellix lädt ein zum kostenlosen Webinar am 21. April 2022 ab 14:00 Uhr "Operation Graphite – Stärkung der Resilienz gegen ➡ Weiterlesen

Kaspersky: Threat Intelligence Plattform ab jetzt kostenlos

Kaspersky ermöglicht zur Zeit die kostenlose Nutzung seiner Kaspersky Threat Intelligence Plattform. Während zuvor nur die einzelne Datei- oder Linkanalyse ➡ Weiterlesen

ESET analysiert APT-Angriffe auf Windows Kernel

Unbewachte Schaltzentrale: ESET analysiert Angriffe auf Windows Kernel. Europäischer IT-Sicherheitshersteller veröffentlicht neue Forschungsergebnisse, wie APT-Gruppen (Advanced Persistent Threat) die Schwachstellen für ➡ Weiterlesen