PingPullマルウェア検出：Gallium APTによる新たなステルスRATの使用

研究者は、Galliumハッカーによって開始されたPingPullと呼ばれるアップグレードされたリモートアクセス型トロイの木馬（RAT）による新たな攻撃を報告しました。Gallium APTは少なくとも2012年から存在しており、中国政府の支援を受けていると信じられる国家の脅威アクターの特徴を持っています。彼らの最新の活動は、APTが使用するマルウェアツールセットの進化と拡大を目指していることが特徴です。彼らの以前の攻撃では、Galliumハッカーは Gh0st RATやPoison Ivyマルウェアを使用しており、今回は PingPull RATで攻撃を行っています。

PingPullと呼ばれるマルウェアファミリーは、その優れたステルス性が特徴です。Visual C++で書かれており、C2のプロトコルとしてICMP、HTTP(S)、および生のTCPを使用します。ICMPトンネリングの使用により、PingPullは検出が難しくなっています。

PingPullマルウェアを検出する

PingPullマルウェアのシグネチャIDを簡単に検出するために、以下のSigmaルールを使用してください Sigmaルール このルールは、新しい脅威を常に探している敏腕のThreat Bounty Program開発者である Nattatorn Chuensangarunによってリリースされました。

GALLIUMが使用するPingPullマルウェア用のPalo Alto Networksシグネチャ検出

SOC Primeの Threat Bounty Program は、経験豊富な脅威ハンターも、初心者の脅威ハンターも、Sigmaベースの検出コンテンツを共有することにより、専門的なコーチングと安定した収入を交換することを歓迎します。

上記の検出ルールは MITRE ATT&CK®フレームワーク v.10に準拠しており、リモートアクセスソフトウェア（T1219）技術によって表されたコマンドと制御の戦略に対処します。21のSIEM、EDR、XDRプラットフォームで使用可能です。

SOC Primeは、あなたのシステムを危険にさらす最も高度な試みさえも撃退するための効率的で費用対効果の高いソリューションを提供します。 検出と狩猟 ボタンを押して、Detection as Codeプラットフォームにアクセスし、SOCプラクティショナーがその専門的な効率を最大化できるようにし、回顧的または積極的な脅威ハンティングを加速し、世界のサイバーセキュリティコミュニティのリーダーと協力します。

我々の革新的なサイバー脅威検索エンジンを使用して、25以上のサポートされたSIEM、EDR、XDR技術内で最新の脅威を即座に検索します。 脅威のコンテキストを調査 ボタンを押して、サブセカンドの検索パフォーマンスで詳細なサイバー脅威情報と関連コンテキストにアクセスします。

検出と狩猟 脅威のコンテキストを調査

PingPullマルウェアの説明

セキュリティ分析官である Unit42 （Palo Alto Networks）は、PingPullマルウェアを使用した最新攻撃の詳細を含む調査を公開しました。発表されたハッキングの背後には、中国の支援を受けたGallium APTグループがあり、しばらくの間、世界中の通信プロバイダーを脅かしていました。この最新の攻撃は、研究者によると、金融、通信、政府を含む幅広いセクターで、ヨーロッパ、東南アジア、アフリカのエンティティを対象にしています。 今月書いた。 中国国家が支援するハッカーは、ここ数年で多くの攻撃を開始したと報告されています。現データによれば、敵対的行為者は2020年後半から170以上のIPアドレスを使用しています。

Chinese state-backed hackers reportedly launched a number of attacks in the last couple of years – according to the current data, adversaries have used 170+ IP addresses since late 2020.

ターゲットに侵入すると、RATはユーザーを混乱させ、持続性を確立するための偽のサービス説明でサービスとして実行されます。専門家はまた、このマルウェアには同じ機能を持ちながらも、コマンドとコントロールセンターとの通信に異なるプロトコルを使用するよう設計された3つのバリエーションがあることを観察しました。PingPullは、敵対的行為者がコマンドを実行し、ファイルを操作し、侵害されたシステム内でのリバースシェルへのアクセスを可能にします。

国家支援のAPTは、現代のサイバーセキュリティ脅威の風景において卓越し、危険な側面です。 SOC Primeプラットフォーム は、絶えず進化するAPTのハッキングソリューションに対するあなたの防御を強化します。CCMモジュールのコンテンツストリーミング機能をテストし、日常的なSOC運用をサイバー脅威インテリジェンスで強化するために組織を支援します。サイバーセキュリティリスクのテンポの速い環境の脈拍をつかみ、最高の緩和ソリューションを入手してください。 SOC Prime.