Detecção de Malware PingPull: Novo RAT Furtivo Usado pelo Gallium APT

[post-views]
Julho 04, 2022 · 4 min de leitura
Detecção de Malware PingPull: Novo RAT Furtivo Usado pelo Gallium APT

Pesquisadores relatam novos ataques com um trojan de acesso remoto (RAT) atualizado chamado PingPull, lançado por hackers da Gallium. O APT Gallium existe pelo menos desde 2012 e apresenta as características de um provável ator de ameaça estatal, acreditado ser apoiado pelo governo chinês. Sua atividade mais recente é caracterizada pela busca do APT em evoluir e expandir os conjuntos de ferramentas de malware utilizados. Em seus ataques anteriores, os hackers da Gallium empregaram Gh0st RAT e malware Poison Ivy, desta vez atacando com o PingPull RAT.

A família de malware chamada PingPull é caracterizada por uma furtividade notável. É escrita em Visual C++ e usa ICMP, HTTP(S) e TCP bruto como protocolos para C2. O uso de tunelamento ICMP garante que o PingPull seja difícil de detectar.

Detectar Malware PingPull

Para detectar facilmente a assinatura do malware PingPull, use a regra Sigma abaixo, lançada pelo perspicaz desenvolvedor do Programa Threat Bounty Nattatorn Chuensangarun, que está sempre atento às novas ameaças:

Detecção de Assinatura da Palo Alto Networks para Malware PingPull usado pelo GALLIUM

O Programa Threat Bounty da SOC Prime acolhe tanto caçadores de ameaças experientes quanto aspirantes para compartilhar seu conteúdo de detecção baseado em Sigma em troca de treinamento especializado e renda estável.

A regra de detecção acima está alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Comando e Controle representada pela técnica de Software de Acesso Remoto (T1219), e pode ser usada em 21 plataformas SIEM, EDR e XDR.

A SOC Prime oferece soluções eficientes e econômicas para defender até mesmo das tentativas mais sofisticadas de comprometer seu sistema. O botão Detectar & Caçar desbloqueia o acesso à plataforma de Detecção como Código, permitindo que os profissionais de SOC maximizem sua eficácia profissional acelerando tanto a caça às ameaças retrospectiva quanto a proativa e cooperando com líderes na comunidade global de cibersegurança.

Caçe instantaneamente as ameaças mais recentes dentro de mais de 25 tecnologias SIEM, EDR e XDR suportadas com nosso inovador Motor de Busca de Ameaças Cibernéticas. Pressione o botão Explorar Contexto da Ameaça para acessar informações detalhadas sobre ameaças cibernéticas e contexto relevante com desempenho de busca em fração de segundo.

Detectar & Caçar Explorar Contexto da Ameaça

Descrição do Malware PingPull

Analistas de segurança da Unit42 (Palo Alto Networks) divulgaram uma pesquisa detalhando os ataques mais recentes com o malware PingPull. Por trás dos hacks revelados estava o grupo APT Gallium, apoiado pela China, que vem aterrorizando provedores de telecomunicações em todo o mundo por um tempo agora. Esta última onda visa entidades na Europa, Sudeste da Ásia e África em uma ampla gama de setores, incluindo financeiro, telecomunicações e governo, os pesquisadores escreveram este mês.

Hackers apoiados pelo estado chinês supostamente lançaram uma série de ataques nos últimos anos – segundo os dados atuais, os adversários usaram mais de 170 endereços IP desde o final de 2020.

Ao infiltrar o alvo, o RAT funciona como um serviço com uma descrição de serviço falsa para confundir os usuários e estabelecer persistência. Especialistas também observaram que existem três variantes deste malware com a mesma funcionalidade, mas projetadas para aproveitar diferentes protocolos na comunicação com seus centros de comando e controle. O PingPull permite que os adversários executem comandos, manipulem arquivos e acessem um shell reverso dentro dos sistemas comprometidos.

APTs apoiados por estados são um aspecto excelente e perigoso do panorama moderno de ameaças cibernéticas. A plataforma SOC Prime supercarrega sua defesa contra as soluções de hacking sempre em evolução dos APTs. Teste as capacidades de streaming de conteúdo do módulo CCM e ajude sua organização a capacitar as operações diárias de SOC com inteligência sobre ameaças cibernéticas. Mantenha o dedo no pulso do ambiente dinâmico de riscos de segurança cibernética e obtenha as melhores soluções de mitigação com SOC Prime.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Ataque Secret Blizzard: APT Apoiada pela rússia Alvo de Embaixadas Estrangeiras em Moscou com Malware ApolloShadow 5 min de leitura Ameaças Mais Recentes Detecção do Ataque Secret Blizzard: APT Apoiada pela rússia Alvo de Embaixadas Estrangeiras em Moscou com Malware ApolloShadow by Daryna Olyniychuk Detecção de Ataques APT41: Hackers Chineses Exploram Google Calendar e Distribuem Malware TOUGHPROGRESS Alvejando Agências Governamentais 6 min de leitura Ameaças Mais Recentes Detecção de Ataques APT41: Hackers Chineses Exploram Google Calendar e Distribuem Malware TOUGHPROGRESS Alvejando Agências Governamentais by Daryna Olyniychuk Detecte ataques APT28: Unidade 26156 do GRU russo tem como alvo empresas ocidentais de logística e tecnologia que coordenam ajuda à Ucrânia em uma campanha de hacking de dois anos 9 min de leitura Ameaças Mais Recentes Detecte ataques APT28: Unidade 26156 do GRU russo tem como alvo empresas ocidentais de logística e tecnologia que coordenam ajuda à Ucrânia em uma campanha de hacking de dois anos by Veronika Telychko
Todas as notícias