Нові висновки дослідницького підрозділу Unit 42: новий троян віддаленого доступу під назвою PingPull, який важко виявити, нещодавно ідентифіковано як використовуваний GALLIUM, групою APT (Advanced Persistent Threat). Він спрямований на телекомунікації, уряд і фінанси.
Блок 42 активно стежить за інфраструктурою кількох груп APT. Одна з цих груп, GALLIUM (вона ж Operation Soft Cell), зробила собі ім’я, націлившись на телекомунікаційні компанії в Південно-Східній Азії, Європі та Африці. Географічний фокус, орієнтація на галузь і їхня технічна майстерність у поєднанні з використанням відомих китайських зловмисних програм і методів, тактик і процедур (TTP) призвели до оцінки того, що це, ймовірно, дії однієї групи, спонсорованої китайською державою.
ГАЛІЙ: фокус атаки розширено
За останній рік ця група розширила свої атаки не лише на телекомунікаційні компанії, а й на фінансові та державні установи. Протягом цього періоду дослідники Unit 42 виявили численні зв’язки між інфраструктурою GALLIUM і цілями в Афганістані, Австралії, Бельгії, Камбоджі, Малайзії, Мозамбіку, Філіппінах, Росії та В’єтнамі. Найважливіше те, що вони виявили, що група використовувала новий троян віддаленого доступу під назвою PingPull.
Троян віддаленого доступу PingPull
PingPull може використовувати три протоколи - ICMP, HTTP(S) і Raw TCP - для функції керування та керування (C2). Хоча використання тунелювання ICMP не є новою технікою, PingPull використовує ICMP, щоб ускладнити виявлення зв’язку C2, оскільки небагато організацій реалізують перевірку трафіку ICMP у своїх мережах. Останній блог Unit 42 надає детальну розбивку цього нового інструменту, а також найновішу інфраструктуру від GALLIUM Group.
Клієнти Palo Alto Networks отримують захист від описаних загроз за допомогою запобігання загрозам, розширеної фільтрації URL-адрес, безпеки DNS, Cortex XDR і WildFire для аналізу зловмисного програмного забезпечення. GALLIUM залишається активною загрозою для телекомунікаційних, фінансових і урядових організацій у Південно-Східній Азії, Європі та Африці. За останній рік дослідники виявили цілеспрямовані атаки на дев'ять країн. Ця група нещодавно використала нову здатність під назвою PingPull, щоб допомогти у своїй шпигунській діяльності. Підрозділ 42 рекомендує використовувати наявні докази для вжиття захисних заходів для протидії цій групі загроз.
Більше на PaloAltoNetworks.com
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.