PingPull Malware-Erkennung: Neue heimliche RAT von Gallium APT eingesetzt
Inhaltsverzeichnis:
Forscher berichten über neue Angriffe mit einem aufgerüsteten Remote-Access-Trojaner (RAT) namens PingPull, der von Gallium-Hackern gestartet wurde. Die Gallium-APT existiert seit mindestens 2012 und trägt die Merkmale eines vermutlich staatlich unterstützten Bedrohungsakteurs, der mutmaßlich von der chinesischen Regierung unterstützt wird. Ihre jüngsten Aktivitäten sind charakterisiert durch das Streben der APT, die eingesetzten Malware-Toolsets weiterzuentwickeln und zu erweitern. In ihren vorherigen Angriffen setzten die Gallium-Hacker auf Gh0st RAT und Poison Ivy-Malware, diesmal schlagen sie mit dem PingPull RAT zu.
Die Malware-Familie namens PingPull zeichnet sich durch außergewöhnliche Tarnbarkeit aus. Sie ist in Visual C++ geschrieben und nutzt ICMP, HTTP(S) und rohes TCP als Protokolle für C2. Die Verwendung von ICMP-Tunneling stellt sicher, dass PingPull schwer zu entdecken ist.
PingPull-Malware erkennen
Um die Signatur-ID der PingPull-Malware mühelos zu erkennen, verwenden Sie die Sigma-Regel unten, herausgegeben von dem wachsamen Entwicklern des Threat Bounty Programms Nattatorn Chuensangarun, der stets nach neuen Bedrohungen Ausschau hält:
Palo Alto Networks Signaturerkennung für von GALLIUM verwendete PingPull-Malware
SOC Primes Threat Bounty Program begrüßt sowohl erfahrene als auch angehende Bedrohungsjäger, die ihre Sigma-basierte Erkennungsinhalte teilen, um im Gegenzug fachkundige Anleitung und ein stabiles Einkommen zu erhalten.
Die oben genannte Erkennungsregel ist mit dem MITRE ATT&CK®-Framework v.10 abgestimmt, adressiert die Command and Control-Taktik, die durch die Remote-Zugriffssoftware (T1219) Technik dargestellt wird, und kann auf 21 SIEM-, EDR- und XDR-Plattformen verwendet werden.
SOC Prime bietet effiziente und kostengünstige Lösungen, um selbst die raffiniertesten Versuche, Ihr System zu kompromittieren, abzuwehren. Der Detect & Hunt -Button gewährt Zugang zur Detection as Code Plattform, wodurch SOC-Praktiker ihre professionelle Effizienz maximieren können, indem sie sowohl rückblickende als auch proaktive Bedrohungsjagden beschleunigen und mit Führern der weltweiten Cybersicherheits-Community zusammenarbeiten.
Jagen Sie sofort nach den neuesten Bedrohungen innerhalb von über 25 unterstützten SIEM-, EDR- und XDR-Technologien mit unserer innovativen Cyber Threats Search Engine. Drücken Sie den Explore Threat Context -Button, um auf umfassende Informationen zu Cyber-Bedrohungen und deren relevante Kontexte mit einer Suchleistung im Sub-Sekunden-Bereich zuzugreifen.
Detect & Hunt Explore Threat Context
Beschreibung der PingPull-Malware
Sicherheitsanalysten bei Unit42 (Palo Alto Networks) veröffentlichten Untersuchungen, die die neuesten Angriffe mit PingPull-Malware detailliert beschreiben. Hinter den aufgedeckten Hacks stand die von China unterstützte Gallium-APT-Gruppe, die Telekommunikationsanbieter weltweit bereits seit einiger Zeit terrorisiert. Diese neueste Welle zielt auf europäischen, südostasiatischen und afrikanischen Unternehmen in einer Vielzahl von Sektoren ab, einschließlich des Finanzwesens, der Telekommunikation und des Regierungssektors, wie die Forscher diesen Monat schrieben.
Berichten zufolge haben von China staatlich unterstützte Hacker in den letzten Jahren eine Reihe von Angriffen gestartet – laut aktuellen Daten haben Gegner seit Ende 2020 über 170 IP-Adressen verwendet.
Sobald das Ziel infiltriert ist, läuft der RAT als Dienst mit einer falschen Dienstbeschreibung, um Benutzer zu verwirren und Beständigkeit zu schaffen. Experten beobachteten auch, dass es drei Varianten dieser Malware mit derselben Funktionalität gibt, die jedoch so gestaltet sind, dass unterschiedliche Protokolle für die Kommunikation mit ihren Kontrollzentren genutzt werden. PingPull ermöglicht es Gegnern, Befehle auszuführen, Dateien zu manipulieren und auf ein Reverse-Shell innerhalb kompromittierter Systeme zuzugreifen.
Staatlich unterstützte APTs sind ein hervorragender und gefährlicher Aspekt der modernen Cybersicherheitsbedrohungslandschaft. Die SOC Prime-Plattform verstärkt Ihre Abwehr gegen die sich ständig weiterentwickelnden Hacking-Lösungen der APTs. Testen Sie die Inhalts-Streaming-Fähigkeiten des CCM-Moduls und helfen Sie Ihrer Organisation, die täglichen SOC-Operationen mit Cyber Threat Intelligence zu stärken. Halten Sie den Finger am Puls des schnelllebigen Cybersicherheitsrisikoumfelds und erhalten Sie die besten Minderungslösungen mit SOC Prime.
