PingPull 악성코드 탐지: Gallium APT가 사용하는 새로운 스텔스 RAT

연구자들은 Gallium 해커들이 시작한 PingPull이라는 업그레이드된 원격 접근 트로이 목마(RAT) 공격을 보고합니다. Gallium APT는 적어도 2012년부터 활동해 왔으며, 중국 정부의 지원을 받는 것으로 믿어지는 국가 수준의 위협 행위자일 가능성이 있습니다. 그들의 최근 활동은 APT가 사용된 악성코드 도구를 발전시키고 확장하려는 노력으로 특징지어집니다. 이전 공격에서 Gallium 해커들은 Gh0st RAT 및 Poison Ivy 악성코드를 사용했으며, 이번에는 PingPull RAT로 공격했습니다.

PingPull이라 불리는 악성코드 패밀리는 뛰어난 은폐성으로 특징지어집니다. Visual C++로 작성되었으며 ICMP, HTTP(S), 원시 TCP를 C2 프로토콜로 사용합니다. ICMP 터널링의 사용은 PingPull을 탐지하기 어렵게 만듭니다.

PingPull 악성코드 탐지

PingPull 악성코드의 시그니처 ID를 손쉽게 탐지하기 위해, 아래의 Sigma 규칙 을 사용하세요. 이는 새로운 위협에 항상 주의를 기울이고 있는 최고의 위협 현상금 프로그램 개발자 Nattatorn Chuensangarun이 릴리스한 것입니다:

GALLIUM에 의해 사용되는 PingPull 악성코드를 위한 Palo Alto Networks 시그니처 탐지

SOC Prime의 위협 현상금 프로그램 은 경험 있는 위협 헌터와 신진 위협 헌터 모두가 Sigma 기반 탐지 콘텐츠를 공유하고 전문 코칭과 지속적인 수익을 얻을 수 있도록 환영합니다.

위의 탐지 규칙은 MITRE ATT&CK® 프레임워크 버전 10과 맞춰져 있으며, 원격 접근 소프트웨어(T1219) 기술로 표현되는 명령 및 제어 전술을 다루며, 21개의 SIEM, EDR, XDR 플랫폼에 걸쳐 사용할 수 있습니다.

SOC Prime은 심지어 가장 정교한 시스템 침해 시도도 방어할 수 있는 효율적이고 비용 효과적인 솔루션을 제공합니다. 탐지 및 헌트 버튼은 탐지를 코드화하는 플랫폼으로의 액세스를 해제하여 SOC 전문가들이 회고적 및 사전적 위협 헌팅을 가속화하고 전 세계 사이버 보안 커뮤니티의 리더들과 협력함으로써 전문 능률을 최대화할 수 있게 해줍니다.

최신 위협을 25개 이상의 지원되는 SIEM, EDR, XDR 기술에서 즉시 검색하세요. 첨단 사이버 위협 정보와 관련 컨텍스트에 대한 깊이 있는 액세스를 제공하는 위협 컨텍스트 탐색 버튼을 눌러 보세요.

탐지 및 헌트 위협 컨텍스트 탐색

PingPull 악성코드 설명

보안 분석가들, Unit42 (Palo Alto Networks)는 PingPull 악성코드를 사용한 최신 공격에 대한 연구를 발표했습니다. 이 공격의 배후에는 전 세계 통신 제공업체를 오랫동안 위협해 온 중국 지원 Gallium APT 그룹이 있었습니다. 이 최신 물결은 유럽, 동남아시아, 아프리카 지역 내 다양한 분야, 금융, 통신, 정부 부문을 겨냥하고 있습니다. 연구원들이 이번 달에 적었습니다. this month.

중국 정부가 지원하는 해커들이 최근 몇 년간 여러 차례 공격을 감행한 것으로 보고됩니다. 현재 데이터에 따르면, 적들은 2020년 말 이후로 170개 이상의 IP 주소를 사용했습니다.

목표에 침투하면, RAT는 허위 서비스 설명을 사용하여 사용자를 혼란시키고 지속성을 확립하는 서비스로 실행됩니다. 전문가들은 또한 이 악성코드의 동일한 기능을 갖고 있지만 커뮤니케이션을 위한 서로 다른 프로토콜을 활용하도록 설계된 세 가지 변종이 있다는 것을 관찰했습니다. PingPull은 적들이 명령을 실행하고 파일을 조작하며 손상된 시스템 내에서 역셸에 접근할 수 있도록 허용합니다.

국가 지원 APT는 현대 사이버 보안 위협 환경에서 뛰어난 특징이며 위험한 전락입니다. SOC Prime 플랫폼 은 APT의 지속적으로 진화하는 해킹 솔루션에 대한 방어력을 강화합니다. CCM 모듈의 콘텐츠 스트리밍 기능을 테스트하고 귀하의 조직이 사이버 위협 인텔리전스와 함께 일상 SOC 작업을 강화할 수 있도록 도와줍니다. 빠르게 변화하는 사이버 보안 위협 환경의 맥박을 정확히 짚고, 가장 효과적인 완화 솔루션을 와 함께 찾으세요..