Detección de Malware PingPull: Nuevo RAT Sigiloso Usado por Gallium APT

Investigadores informan de nuevos ataques con un troyano de acceso remoto (RAT) mejorado llamado PingPull lanzado por los hackers de Gallium. El APT Gallium ha existido desde al menos 2012 y lleva las marcas de lo que probablemente sea un actor de amenazas patrocinado por el estado, que se cree está respaldado por el gobierno chino. Su actividad más reciente se caracteriza por el esfuerzo de APT de evolucionar y expandir los conjuntos de herramientas de malware utilizados. En sus ataques anteriores, los hackers de Gallium emplearon Gh0st malware RAT y Poison Ivy, esta vez atacando con el PingPull RAT.

La familia de malware llamada PingPull se caracteriza por su gran sigilo. Está escrita en Visual C++ y utiliza ICMP, HTTP(S) y TCP crudo como los protocolos para C2. El uso de túneles ICMP asegura que el PingPull sea difícil de detectar.

Detectar Malware PingPull

Para detectar fácilmente la ID de firma del malware PingPull, utilice la regla Sigma a continuación, lanzada por el perspicaz desarrollador del Programa de Recompensas de Amenazas Nattatorn Chuensangarun, quien siempre está alerta para las nuevas amenazas:

Detección de firma de Palo Alto Networks para el malware PingPull utilizado por GALLIUM

El Programa de Recompensas de Amenazas de SOC Prime da la bienvenida tanto a cazadores de amenazas experimentados como aspirantes para compartir su contenido de detección basado en Sigma a cambio de coaching experto e ingresos constantes.

La regla de detección anterior está alineada con el marco de trabajo de MITRE ATT&CK® v.10, abordando la táctica de Comando y Control representada por la técnica de Software de Acceso Remoto (T1219), y se puede utilizar en 21 plataformas SIEM, EDR y XDR.

SOC Prime ofrece soluciones eficientes y rentables para defenderse incluso de los intentos más sofisticados de comprometer su sistema. El botón Detectar y Cazar desbloquea el acceso a la plataforma de Detección como Código, permitiendo a los profesionales de SOC maximizar su eficacia profesional al acelerar tanto la caza de amenazas retrospectiva como proactiva y al cooperar con líderes en la comunidad mundial de ciberseguridad.

Caza instantáneamente las amenazas más recientes dentro de más de 25 tecnologías compatibles SIEM, EDR y XDR con nuestro innovador Motor de Búsqueda de Amenazas Cibernéticas. Presiona el botón Explorar Contexto de Amenazas para acceder a información detallada de amenazas cibernéticas y contexto relevante con un rendimiento de búsqueda en subsegundos.

Detectar y Cazar Explorar Contexto de Amenazas

Descripción del Malware PingPull

Analistas de seguridad de Unit42 (Palo Alto Networks) publicaron una investigación detallando los últimos ataques con el malware PingPull. Detrás de los hackeos revelados estaba el grupo APT Gallium respaldado por China que ha estado aterrorizando a proveedores de telecomunicaciones en todo el mundo durante un tiempo. Esta última ola está dirigida a entidades de Europa, el sudeste asiático y África en una amplia gama de sectores, incluyendo el financiero, las telecomunicaciones y el gobierno, escritos los investigadores este mes. Hackers respaldados por el estado chino supuestamente lanzaron una serie de ataques en los últimos años: según los datos actuales, los adversarios han usado más de 170 direcciones IP desde finales de 2020.

Chinese state-backed hackers reportedly launched a number of attacks in the last couple of years – according to the current data, adversaries have used 170+ IP addresses since late 2020.

Al infiltrarse en el objetivo, el RAT se ejecuta como un servicio con una descripción de servicio falsa para confundir a los usuarios y establecer persistencia. Los expertos también observaron que hay tres variantes de este malware con la misma funcionalidad pero diseñadas para aprovechar diferentes protocolos con comunicación con sus centros de comando y control. PingPull permite a los adversarios ejecutar comandos, manipular archivos y acceder a un shell inverso dentro de sistemas comprometidos.

Los APT patrocinados por el estado son una faceta excelente y peligrosa del panorama moderno de amenazas cibernéticas. La plataforma SOC Prime supercarga tu defensa contra las soluciones de hacking en constante evolución de los APT. Prueba las capacidades de transmisión de contenido del módulo CCM y ayuda a tu organización a empoderar las operaciones diarias del SOC con inteligencia de amenazas cibernéticas. Mantén el pulso en el entorno acelerado de los riesgos de ciberseguridad y obtén las mejores soluciones de mitigación con SOC Prime.