Китайские хакеры распространяют крысу в сеть организаций

Китайская APT-группа Gallium использовала троян удаленного доступа (RAT) в своих шпионских атаках на компании в Юго-Восточной Азии, Европе и Африке. Согласно новому исследованию Palo Alto Networks Unit 42, бэкдор PingPull употребляет протокол межсетевых управляющих сообщений (Internet Control Message Protocol, ICMP) для управления и контроля (command-and-control, C2).

Вредное ПО на базе Visual C++ PingPull предоставляет злоумышленнику возможность доступа к оборотной оболочке и исполнения случайных команд на скомпрометированном хосте. Функции ПО содержат в себе исполнение файловых операций, перечисление томов хранилища и временные метки файлов.

Эталоны PingPull отправляют пакеты ICMP Echo Request (ping) на сервер C2. Сервер C2 отвечает пакетом Echo Reply, чтоб выдать команды системе, более точно определили исследователи.

Также выявлены варианты PingPull, которые употребляют HTTPS и TCP для связи со своим сервером C2 заместо ICMP. Не считая а всё потому специалисты нашли более 170 IP-адресов, связанных с группой. Хакеры используют доступные в глобальной сети интернет приложения, чтоб закрепиться и развернуть измененную версию интернет-оболочки China Chopper для обеспечения стойкости.

Gallium остается активной опасностью для телекоммуникационных, денежных и правительственных организаций в Юго-Восточной Азии, Европе и Африке, отметили исследователи.

Желая использование туннелирования ICMP не классифицируется новым способом, PingPull употребляет ICMP для затруднения обнаружения собственных соединений C2, поскольку только немногие организации реализуют проверку трафика ICMP в собственных сетях, добавили профессионалы.