PingPullマルウェア

Gallim APT（Advanced Persistent Threat）グループは、複数の大陸にまたがる金融機関や政府機関を標的とした攻撃キャンペーンを実施しています。より具体的には、中国が後援する可能性のあるハッカーグループのこの最新の活動は、ロシア、ベルギー、ベトナム、カンボジア、オーストラリア、フィリピン、マレーシア、アフガニスタンの標的に対して活用されています。さらに、パロアルトネットワークスのUnit42のサイバーセキュリティ研究者によると、攻撃者は「PingPull」として追跡される新しい特にステルスなRAT（リモートアクセストロイの木馬）を配備しました。

PingPullの脅威は、標的のデバイスに侵入し、それらに逆シェルを作成するように設計されています。その後、攻撃者は任意のコマンドをリモートで実行できるようになります。 Unit42によるレポートは、PingPullの3つの別個のバリアントが識別されたことを明らかにしています。それらの主な違いは、使用される通信プロトコル（ICMP、HTTPS、またはTCP）です。 Galliumハッカーは、以前に取得したターゲットに関する情報に基づいて、特定のネットワーク検出方法やセキュリティツールを回避するための最良の機会を提供するバリアントを選択する可能性があります。

3つの亜種はすべて、正規のサービスの説明を模倣した説明を持つサービスとして、侵入されたマシンに存在します。バリアントによって認識されるコマンドも同じです。それらは、ファイルシステムの操作、cmd.exeを介したコマンドの実行、ストレージボリュームの列挙、ファイルのタイムストップ機能、操作のコマンドアンドコントロール（C2、C＆C）サーバーへのデータの送信にまで及びます。 C2からの着信トラフィックは、AES暗号化アルゴリズムで暗号化されます。コマンドとそのパラメータを復号化するために、ビーコンにはハードコードされたキーのペアがあります。