Se ha observado que una amenaza persistente avanzada (APT) china conocida como Gallium utiliza un troyano de acceso remoto previamente no documentado en sus ataques de espionaje dirigidos a empresas que operan en el sudeste asi\u00e1tico, Europa y \u00c1frica.<\/p>\n
Llam\u00f3 PingPull<\/strong><\/a>la puerta trasera “dif\u00edcil de detectar” se destaca por su uso del Protocolo de mensajes de control de Internet (ICMP<\/a>) para comunicaciones de comando y control (C2), seg\u00fan una nueva investigaci\u00f3n publicada hoy por la Unidad 42 de Palo Alto Networks.<\/p>\n Gallium es conocido por sus ataques dirigidos principalmente a empresas de telecomunicaciones que se remontan a 2012. Tambi\u00e9n se rastrea con el nombre Celda suave<\/a> por Cybereason, el actor patrocinado por el estado se ha conectado a un conjunto m\u00e1s amplio de ataques dirigidos a cinco importantes empresas de telecomunicaciones ubicadas en pa\u00edses del sudeste asi\u00e1tico desde 2017.<\/p>\n Sin embargo, durante el a\u00f1o pasado, se dice que el grupo ampli\u00f3 su huella de victimolog\u00eda para incluir instituciones financieras y entidades gubernamentales ubicadas en Afganist\u00e1n, Australia, B\u00e9lgica, Camboya, Malasia, Mozambique, Filipinas, Rusia y Vietnam.<\/p>\n PingPull, un malware basado en Visual C++, brinda a un actor de amenazas la capacidad de acceder a un shell inverso y ejecutar comandos arbitrarios en un host comprometido. Esto abarca la realizaci\u00f3n de operaciones de archivo, la enumeraci\u00f3n de vol\u00famenes de almacenamiento y marcando el tiempo<\/a> archivos<\/p>\n “Las muestras de PingPull que usan ICMP para comunicaciones C2 emiten paquetes de solicitud de eco ICMP (ping) al servidor C2”, detallaron los investigadores. “El servidor C2 responder\u00e1 a estas solicitudes de eco con un paquete de respuesta de eco para enviar comandos al sistema”.<\/p>\n Tambi\u00e9n se identificaron variantes de PingPull que dependen de HTTPS y TCP para comunicarse con su servidor C2 en lugar de ICMP y m\u00e1s de 170 direcciones IP asociadas con el grupo desde finales de 2020.<\/p>\n No est\u00e1 claro de inmediato c\u00f3mo se violan las redes objetivo, aunque se sabe que el actor de amenazas explota las aplicaciones expuestas a Internet para obtener un punto de apoyo inicial e implementar una versi\u00f3n modificada de la red. Helic\u00f3ptero chino<\/a> shell web para establecer la persistencia.<\/p>\n “El galio sigue siendo una amenaza activa para las telecomunicaciones, las finanzas y las organizaciones gubernamentales en el sudeste asi\u00e1tico, Europa y \u00c1frica”, se\u00f1alaron los investigadores.<\/p>\n “Si bien el uso de t\u00faneles ICMP no es una t\u00e9cnica nueva, PingPull usa ICMP para dificultar la detecci\u00f3n de sus comunicaciones C2, ya que pocas organizaciones implementan la inspecci\u00f3n del tr\u00e1fico ICMP en sus redes”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/El-popular-paquete-PyPI-ctx-y-la-biblioteca-PHP-phpass.png\")
<\/a><\/div>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655138455_555_Los-piratas-informaticos-chinos-Gallium-utilizan-el-nuevo-malware-PingPull.jpg\" "\\"Malware")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n