Unit 42 Research'ten yeni bilgiler: PingPull adlı yeni, tespit edilmesi zor bir uzaktan erişim Truva Atı'nın yakın zamanda bir APT (Gelişmiş Kalıcı Tehdit) grubu olan GALLIUM tarafından kullanıldığı belirlendi. Telekomünikasyon, hükümet ve finansı hedefler.
Birim 42, birkaç APT grubunun altyapısını aktif olarak izler. Bu gruplardan biri olan GALLIUM (diğer adıyla Operation Soft Cell), Güneydoğu Asya, Avrupa ve Afrika'daki telekom şirketlerini hedef alarak adından söz ettirdi. Coğrafi odaklanma, sektöre odaklanma ve bunların teknik becerileri, bilinen Çin kötü amaçlı yazılımlarının ve Teknikler, Taktikler ve Prosedürlerin (TTP'ler) kullanımıyla birleştiğinde, bunun muhtemelen Çin devleti destekli tek bir grup eylemi olduğu değerlendirmesine yol açtı.
GALLIUM: Saldırı Odağı genişletildi
Geçtiğimiz yıl boyunca, bu grup saldırılarını yalnızca telekom şirketlerine değil, aynı zamanda finans ve devlet kurumlarına da genişletti. Bu süre zarfında Unit 42 araştırmacıları, GALLIUM altyapısı ile Afganistan, Avustralya, Belçika, Kamboçya, Malezya, Mozambik, Filipinler, Rusya ve Vietnam'daki hedefler arasında çok sayıda bağlantı belirlediler. En önemlisi, grubun PingPull adlı yeni bir uzaktan erişim truva atı kullandığını keşfettiler.
Uzaktan erişim Trojan PingPull
PingPull, komut ve kontrol işlevi (C2) için üç protokolü - ICMP, HTTP(S) ve Ham TCP - kullanabilir. ICMP tünelleme kullanımı yeni bir teknik olmasa da, PingPull, ağlarında ICMP trafik denetimini uygulayan çok az kuruluş olduğundan, C2 iletişimlerinin keşfedilmesini daha zor hale getirmek için ICMP'yi kullanır. Unit 42'nin en son blogu, GALLIUM Group'un en son altyapısının yanı sıra bu yeni aracın ayrıntılı bir dökümünü sağlar.
Palo Alto Networks müşterileri, kötü amaçlı yazılım analizi için Tehdit Önleme, Gelişmiş URL Filtreleme, DNS Güvenliği, Cortex XDR ve WildFire aracılığıyla açıklanan tehditlere karşı koruma elde eder. GALLIUM, Güneydoğu Asya, Avrupa ve Afrika'daki telekom, finans ve devlet kuruluşları için aktif bir tehdit olmaya devam ediyor. Geçen yıl boyunca, araştırmacılar dokuz ülkeye yönelik hedefli saldırılar belirlediler. Bu grup yakın zamanda casusluk faaliyetlerine yardımcı olması için PingPull adlı yeni bir yetenek kullandı. Birim 42, bu tehdit grubuna karşı koruyucu önlemler almak için mevcut kanıtların kullanılmasını önerir.
PaloAltoNetworks.com'da daha fazlası
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.