Tanınmış bir Çin devleti destekli tehdit aktörü, dünya çapındaki şirketlere karşı casusluk kampanyalarında yepyeni bir uzaktan erişim truva atı (RAT) kullanırken görüldü. Palo Alto Networks’ün siber güvenlik kolu olan Unit 42’den siber güvenlik araştırmacıları, yakın zamanda bir rapor yayınladı ve tehdit aktörü olarak bilinen Gallium’un kötü amaçlı yazılım kullandığını söyledi. (yeni sekmede açılır) PingPull denir.
PingPull, komuta ve kontrol (C2) sunucusuyla çok yaygın olmayan İnternet Kontrol Mesaj Protokolü (ICMP) aracılığıyla iletişim kuran “algılanması zor” bir arka kapıdır. C++ üzerine kuruludur ve tehdit aktörlerinin güvenliği ihlal edilmiş uç noktada keyfi komutlar çalıştırmasına izin verir. (yeni sekmede açılır).
Raporda, “C2 iletişimleri için ICMP kullanan PingPull örnekleri, C2 sunucusuna ICMP Yankı İsteği (ping) paketleri gönderir” deniyor. “C2 sunucusu, sisteme komutlar vermek için bu Yankı isteklerine bir Yankı Yanıt paketi ile yanıt verecektir.”
Telekom hedefleme
Unit 42 ayrıca HTTPS ve TCP üzerinden iletişim kuran PingPull sürümlerini ve 170’den fazla IP adresini buldu. (yeni sekmede açılır) Galyum ile ilişkilendirilebilir.
Yayın, devlet destekli tehdit aktörünün ilk olarak on yıl önce tespit edildiğini ve ardından Güneydoğu Asya’daki beş büyük telekomünikasyon şirketine yapılan saldırılarla bağlantılı olduğunu söylüyor. Galyumun ayrıca Afrika’nın yanı sıra Avrupa’daki işletmelere saldırdığı da gözlemlendi. Cybereason, buna Yumuşak Hücre de diyor.
Jüri, grubun hedef ağları nasıl tehlikeye atmayı başardığı konusunda hala kararsızken, medya, grubun internete maruz kalan uygulamalardan yararlanma konusundaki olağan metodolojisinden çok fazla sapmadığını düşünüyor. Daha sonra virüsleri dağıtmak için bu uygulamaları kullanır. (yeni sekmede açılır)veya China Chopper web kabuğu.
Araştırmacılar, “Galyum, Güneydoğu Asya, Avrupa ve Afrika’daki telekomünikasyon, finans ve hükümet kuruluşları için aktif bir tehdit olmaya devam ediyor” dedi. “ICMP tünelleme kullanımı yeni bir teknik olmasa da, PingPull, C2 iletişimlerini algılamayı daha zor hale getirmek için ICMP’yi kullanıyor, çünkü çok az kuruluş ağlarında ICMP trafiğinin denetimini uyguluyor.”
Aracılığıyla: Hacker Haberleri (yeni sekmede açılır)
