Seguir 
Pesquisadores relatam novos ataques com um trojan de acesso remoto (RAT) atualizado chamado PingPull, lançado por hackers da Gallium. O APT Gallium existe pelo menos desde 2012 e apresenta as características de um provável ator de ameaça estatal, acreditado ser apoiado pelo governo chinês. Sua atividade mais recente é caracterizada pela busca do APT em evoluir e expandir os conjuntos de ferramentas de malware utilizados. Em seus ataques anteriores, os hackers da Gallium empregaram Gh0st RAT e malware Poison Ivy, desta vez atacando com o PingPull RAT.
A família de malware chamada PingPull é caracterizada por uma furtividade notável. É escrita em Visual C++ e usa ICMP, HTTP(S) e TCP bruto como protocolos para C2. O uso de tunelamento ICMP garante que o PingPull seja difícil de detectar.
Detectar Malware PingPull
Para detectar facilmente a assinatura do malware PingPull, use a regra Sigma abaixo, lançada pelo perspicaz desenvolvedor do Programa Threat Bounty Nattatorn Chuensangarun, que está sempre atento às novas ameaças:
Detecção de Assinatura da Palo Alto Networks para Malware PingPull usado pelo GALLIUM
O Programa Threat Bounty da SOC Prime acolhe tanto caçadores de ameaças experientes quanto aspirantes para compartilhar seu conteúdo de detecção baseado em Sigma em troca de treinamento especializado e renda estável.
A regra de detecção acima está alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Comando e Controle representada pela técnica de Software de Acesso Remoto (T1219), e pode ser usada em 21 plataformas SIEM, EDR e XDR.
A SOC Prime oferece soluções eficientes e econômicas para defender até mesmo das tentativas mais sofisticadas de comprometer seu sistema. O botão Detectar & Caçar desbloqueia o acesso à plataforma de Detecção como Código, permitindo que os profissionais de SOC maximizem sua eficácia profissional acelerando tanto a caça às ameaças retrospectiva quanto a proativa e cooperando com líderes na comunidade global de cibersegurança.
Caçe instantaneamente as ameaças mais recentes dentro de mais de 25 tecnologias SIEM, EDR e XDR suportadas com nosso inovador Motor de Busca de Ameaças Cibernéticas. Pressione o botão Explorar Contexto da Ameaça para acessar informações detalhadas sobre ameaças cibernéticas e contexto relevante com desempenho de busca em fração de segundo.
Detectar & Caçar Explorar Contexto da Ameaça
Descrição do Malware PingPull
Analistas de segurança da Unit42 (Palo Alto Networks) divulgaram uma pesquisa detalhando os ataques mais recentes com o malware PingPull. Por trás dos hacks revelados estava o grupo APT Gallium, apoiado pela China, que vem aterrorizando provedores de telecomunicações em todo o mundo por um tempo agora. Esta última onda visa entidades na Europa, Sudeste da Ásia e África em uma ampla gama de setores, incluindo financeiro, telecomunicações e governo, os pesquisadores escreveram este mês.
Hackers apoiados pelo estado chinês supostamente lançaram uma série de ataques nos últimos anos – segundo os dados atuais, os adversários usaram mais de 170 endereços IP desde o final de 2020.
Ao infiltrar o alvo, o RAT funciona como um serviço com uma descrição de serviço falsa para confundir os usuários e estabelecer persistência. Especialistas também observaram que existem três variantes deste malware com a mesma funcionalidade, mas projetadas para aproveitar diferentes protocolos na comunicação com seus centros de comando e controle. O PingPull permite que os adversários executem comandos, manipulem arquivos e acessem um shell reverso dentro dos sistemas comprometidos.
APTs apoiados por estados são um aspecto excelente e perigoso do panorama moderno de ameaças cibernéticas. A plataforma SOC Prime supercarrega sua defesa contra as soluções de hacking sempre em evolução dos APTs. Teste as capacidades de streaming de conteúdo do módulo CCM e ajude sua organização a capacitar as operações diárias de SOC com inteligência sobre ameaças cibernéticas. Mantenha o dedo no pulso do ambiente dinâmico de riscos de segurança cibernética e obtenha as melhores soluções de mitigação com SOC Prime.
