Détection du Malware PingPull : Nouveau RAT Furtif Utilisé par Gallium APT
Table des matières :
Des chercheurs signalent de nouvelles attaques avec un cheval de Troie d’accès à distance (RAT) amélioré appelé PingPull lancé par des hackers Gallium. Le groupe APT Gallium existe depuis au moins 2012 et porte les marques de ce qui est probablement un acteur de menace étatique, supposé être soutenu par le gouvernement chinois. Leur dernière activité se caractérise par la volonté de l’APT d’évoluer et d’élargir les ensembles d’outils de logiciels malveillants utilisés. Dans leurs attaques précédentes, les hackers Gallium ont utilisé Gh0st RAT et le malware Poison Ivy, cette fois-ci en frappant avec le PingPull RAT.
La famille de logiciels malveillants appelée PingPull est caractérisée par une furtivité exceptionnelle. Elle est écrite en Visual C++ et utilise ICMP, HTTP(S) et TCP brut comme protocoles pour le C2. L’utilisation de tunneling ICMP assure que le PingPull est difficile à détecter.
Détecter le malware PingPull
Pour détecter facilement l’ID de signature du malware PingPull, utilisez la règle Sigma ci-dessous publiée par le développeur perspicace du programme Threat Bounty Nattatorn Chuensangarun, qui est toujours à la recherche de nouvelles menaces :
Détection de signature Palo Alto Networks pour le malware PingPull utilisé par GALLIUM
Le programme Threat Bounty de SOC Prime. accueille à la fois les chasseurs de menaces expérimentés et débutants pour partager leur contenu de détection basé sur Sigma en échange d’un encadrement expert et d’un revenu régulier.
La règle de détection ci-dessus est alignée avec le cadre MITRE ATT&CK® v.10, traitant de la tactique de Command and Control représentée par la technique de logiciel d’accès à distance (T1219), et peut être utilisée sur 21 plateformes SIEM, EDR et XDR.
SOC Prime offre des solutions efficaces et rentables pour contrer même les tentatives les plus sophistiquées de compromettre votre système. Le bouton Detect & Hunt débloque l’accès à la plate-forme Detection as Code, permettant aux praticiens SOC de maximiser leur efficacité professionnelle en accélérant à la fois la chasse aux menaces rétrospective et proactive et en coopérant avec les leaders de la communauté mondiale de la cybersécurité.
Chassez instantanément les dernières menaces au sein de plus de 25 technologies SIEM, EDR et XDR prises en charge avec notre moteur de recherche de menaces cybernétiques innovant. Appuyez sur le bouton Explore Threat Context pour accéder à des informations détaillées sur les menaces cybernétiques et au contexte pertinent avec des performances de recherche en moins d’une seconde.
Detect & Hunt Explore Threat Context
Description du malware PingPull
Les analystes en sécurité de Unit42 (Palo Alto Networks) ont publié des recherches détaillant les dernières attaques avec le malware PingPull. Derrière les hacks divulgués se trouvait le groupe APT Gallium soutenu par la Chine, qui terrorise les fournisseurs de télécommunications dans le monde entier depuis un certain temps. Cette dernière vague vise les entités en Europe, en Asie du Sud-Est et en Afrique dans un large éventail de secteurs, y compris les secteurs financier, des télécommunications et gouvernemental, ont écrit les chercheurs ce mois-ci.
Des hackers soutenus par l’État chinois auraient lancé un certain nombre d’attaques au cours des dernières années – selon les données actuelles, les adversaires ont utilisé plus de 170 adresses IP depuis fin 2020.
Après avoir infiltré la cible, le RAT fonctionne comme un service avec une description de service bogus pour tromper les utilisateurs et établir une persistance. Les experts ont également observé qu’il existe trois variantes de ce malware avec la même fonctionnalité mais conçues pour tirer parti de différents protocoles de communication avec leurs centres de commande et de contrôle. PingPull permet aux adversaires d’exécuter des commandes, manipuler les fichiers et accéder à un shell inversé au sein des systèmes compromis.
Les APT soutenues par l’État sont un aspect dangereux et excellent du paysage moderne des menaces de cybersécurité. La plate-forme SOC Prime booste votre défense contre les solutions de hacking en constante évolution des APT. Testez les capacités de diffusion de contenu du module CCM et aidez votre organisation à renforcer les opérations quotidiennes du SOC avec l’intelligence des menaces cybernétiques. Restez à l’écoute de l’environnement rapide des risques de cybersécurité et obtenez les meilleures solutions d’atténuation avec SOC Prime..
