Китайские хакеры пускают крысу в сети

Китайская APT-группа Gallium использовала троян удаленного доступа ( RAT ) в своих шпионских атаках на компании в Юго-Восточной Азии, Европе и Африке. Согласно новому исследованию Palo Alto Networks Unit 42, бэкдор PingPull использует протокол межсетевых управляющих сообщений[ ( Internet Control Message Protocol, ICMP ) для управления и контроля (command-and-control, C2).

Вредоносное ПО на основе Visual C++ PingPull предоставляет злоумышленнику возможность доступа к обратной оболочке и выполнения произвольных команд на скомпрометированном хосте. Функции ПО включают в себя выполнение файловых операций, перечисление томов хранилища и временные метки файлов .

«Образцы PingPull отправляют пакеты ICMP Echo Request (ping) на сервер C2. Сервер C2 отвечает пакетом Echo Reply, чтобы выдать команды системе», — уточнили исследователи.

Также выявлены варианты PingPull, которые используют HTTPS и TCP для связи со своим сервером C2 вместо ICMP. Кроме того, эксперты обнаружили более 170 IP-адресов, связанных с группой. Злоумышленник использует доступные в Интернете приложения, чтобы закрепиться и развернуть модифицированную версию веб-оболочки China Chopper для обеспечения устойчивости.

«Gallium остается активной угрозой для телекоммуникационных, финансовых и правительственных организаций в Юго-Восточной Азии, Европе и Африке», — отметили исследователи.

«Хотя использование туннелирования ICMP не является новым методом, PingPull использует ICMP для затруднения обнаружения своих соединений C2, поскольку лишь немногие организации реализуют проверку трафика ICMP в своих сетях», — добавили специалисты.