Se ha observado que una amenaza persistente avanzada (APT) china conocida como Gallium utiliza un troyano de acceso remoto previamente no documentado en sus ataques de espionaje dirigidos a empresas que operan en el sudeste asiático, Europa y África.
Llamó PingPullla puerta trasera «difícil de detectar» se destaca por su uso del Protocolo de mensajes de control de Internet (ICMP) para comunicaciones de comando y control (C2), según una nueva investigación publicada hoy por la Unidad 42 de Palo Alto Networks.
Gallium es conocido por sus ataques dirigidos principalmente a empresas de telecomunicaciones que se remontan a 2012. También se rastrea con el nombre Celda suave por Cybereason, el actor patrocinado por el estado se ha conectado a un conjunto más amplio de ataques dirigidos a cinco importantes empresas de telecomunicaciones ubicadas en países del sudeste asiático desde 2017.
Sin embargo, durante el año pasado, se dice que el grupo amplió su huella de victimología para incluir instituciones financieras y entidades gubernamentales ubicadas en Afganistán, Australia, Bélgica, Camboya, Malasia, Mozambique, Filipinas, Rusia y Vietnam.
PingPull, un malware basado en Visual C++, brinda a un actor de amenazas la capacidad de acceder a un shell inverso y ejecutar comandos arbitrarios en un host comprometido. Esto abarca la realización de operaciones de archivo, la enumeración de volúmenes de almacenamiento y marcando el tiempo archivos
«Las muestras de PingPull que usan ICMP para comunicaciones C2 emiten paquetes de solicitud de eco ICMP (ping) al servidor C2», detallaron los investigadores. «El servidor C2 responderá a estas solicitudes de eco con un paquete de respuesta de eco para enviar comandos al sistema».
También se identificaron variantes de PingPull que dependen de HTTPS y TCP para comunicarse con su servidor C2 en lugar de ICMP y más de 170 direcciones IP asociadas con el grupo desde finales de 2020.
No está claro de inmediato cómo se violan las redes objetivo, aunque se sabe que el actor de amenazas explota las aplicaciones expuestas a Internet para obtener un punto de apoyo inicial e implementar una versión modificada de la red. Helicóptero chino shell web para establecer la persistencia.
«El galio sigue siendo una amenaza activa para las telecomunicaciones, las finanzas y las organizaciones gubernamentales en el sudeste asiático, Europa y África», señalaron los investigadores.
«Si bien el uso de túneles ICMP no es una técnica nueva, PingPull usa ICMP para dificultar la detección de sus comunicaciones C2, ya que pocas organizaciones implementan la inspección del tráfico ICMP en sus redes».