Rilevamento del Malware PingPull: Nuovo RAT Inosservato Usato dal Gallium APT

[post-views]
Luglio 04, 2022 · 4 min di lettura
Rilevamento del Malware PingPull: Nuovo RAT Inosservato Usato dal Gallium APT

I ricercatori segnalano nuovi attacchi con un trojan di accesso remoto (RAT) potenziato denominato PingPull lanciato dagli hacker Gallium. Il gruppo APT Gallium è attivo almeno dal 2012 e presenta i segni distintivi di un probabile attore di minacce di tipo state-nation, si ritiene supportato dal governo cinese. La loro ultima attività è caratterizzata dallo sforzo dell’APT di evolversi e ampliare il set di strumenti malware utilizzato. Nei loro attacchi precedenti, gli hacker Gallium hanno impiegato Gh0st RAT e il malware Poison Ivy, questa volta colpendo con il PingPull RAT.

La famiglia di malware chiamata PingPull è caratterizzata da un’eccezionale furtività. È scritto in Visual C++ e utilizza ICMP, HTTP(S) e TCP grezzo come protocolli per il C2. L’uso del tunneling ICMP assicura che il PingPull sia difficile da rilevare.

Rileva il malware PingPull

Per rilevare senza sforzo l’ID di firma del malware PingPull, utilizza la regola Sigma di seguito rilasciata dal capace sviluppatore del Threat Bounty Program Nattatorn Chuensangarun, che è sempre alla ricerca di nuove minacce:

Rilevamento firma Palo Alto Networks per il malware PingPull utilizzato da GALLIUM

Il Threat Bounty Program di SOC Prime accoglie sia esperti che aspiranti cacciatori di minacce per condividere il loro contenuto di rilevamento basato su Sigma in cambio di coaching esperto e un reddito stabile.

La regola di rilevamento sopra è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica di Command and Control rappresentata dalla tecnica Remote Access Software (T1219), e può essere utilizzata su 21 piattaforme SIEM, EDR e XDR.

SOC Prime offre soluzioni efficienti e convenienti per difendersi anche dai tentativi più sofisticati di compromettere il tuo sistema. Il pulsante Detect & Hunt sblocca l’accesso alla piattaforma Detection as Code, consentendo ai professionisti della SOC di massimizzare la loro efficacia professionale accelerando sia la ricerca di minacce retrospettiva che proattiva e cooperando con i leader nella comunità mondiale della cybersecurity.

Caccia istantaneamente le minacce più recenti all’interno di oltre 25 tecnologie SIEM, EDR e XDR supportate con il nostro innovativo motore di ricerca di minacce informatiche. Premi il pulsante Explore Threat Context per accedere a informazioni dettagliate sulle minacce informatiche e contesto rilevante con prestazioni di ricerca in tempi molto ridotti.

pulsante Detect & Hunt pulsante Explore Threat Context

Descrizione del malware PingPull

Gli analisti della sicurezza di Unit42 (Palo Alto Networks) hanno rilasciato una ricerca che dettaglia gli ultimi attacchi con il malware PingPull. Dietro gli attacchi divulgati c’era il gruppo APT Gallium supportato dalla Cina che ha terrorizzato i fornitori di telecomunicazioni in tutto il mondo per un po’ di tempo. Questa ultima ondata è mirata a enti di Europa, Sud-est asiatico e Africa in un’ampia gamma di settori, tra cui quello finanziario, delle telecomunicazioni e governativo, hanno scritto i ricercatori questo mese. questo mese.

Gli hacker supportati dallo stato cinese avrebbero lanciato una serie di attacchi negli ultimi anni: secondo i dati attuali, gli avversari hanno utilizzato oltre 170 indirizzi IP dalla fine del 2020.

Una volta infiltratosi nell’obiettivo, il RAT si esegue come un servizio con una descrizione del servizio fasulla per confondere gli utenti e stabilire persistenza. Gli esperti hanno anche osservato che ci sono tre varianti di questo malware con la stessa funzionalità ma progettate per sfruttare diversi protocolli per la comunicazione con i loro centri di comando e controllo. PingPull consente agli avversari di eseguire comandi, manipolare i file e accedere a una shell inversa all’interno dei sistemi compromessi.

Gli APT supportati dallo stato sono un aspetto eccellente e pericoloso del moderno panorama delle minacce alla cybersecurity. La piattaforma SOC Prime supercharge la tua difesa contro le soluzioni di hacking sempre in evoluzione degli APT. Metti alla prova le capacità di streaming dei contenuti del modulo CCM e aiuta la tua organizzazione a potenziare le operazioni SOC quotidiane con l’intelligenza delle minacce informatiche. Tieni il dito sul polso dell’ambiente dinamico dei rischi di cybersecurity e ottieni le migliori soluzioni di mitigazione con SOC Prime.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow 5 min di lettura Ultime Minacce Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow by Daryna Olyniychuk Rilevamento degli Attacchi di APT41: Hacker Cinesi Sfruttano Google Calendar e Distribuiscono Malware TOUGHPROGRESS Contro le Agenzie Governative 6 min di lettura Ultime Minacce Rilevamento degli Attacchi di APT41: Hacker Cinesi Sfruttano Google Calendar e Distribuiscono Malware TOUGHPROGRESS Contro le Agenzie Governative by Daryna Olyniychuk Rileva gli attacchi APT28: l’unità 26156 del GRU russo prende di mira le aziende logistiche e tecnologiche occidentali che coordinano gli aiuti all’Ucraina in una campagna di hacking di due anni 9 min di lettura Ultime Minacce Rileva gli attacchi APT28: l’unità 26156 del GRU russo prende di mira le aziende logistiche e tecnologiche occidentali che coordinano gli aiuti all’Ucraina in una campagna di hacking di due anni by Veronika Telychko
Tutte le notizie