Logiciel malveillant PingPull

Le groupe Gallim APT (Advanced Persistent Threat) a mené une campagne d'attaque ciblant les institutions financières et les entités gouvernementales sur plusieurs continents. Plus précisément, cette dernière opération du groupe de hackers probablement parrainé par la Chine a été exploitée contre des cibles en Russie, en Belgique, au Vietnam, au Cambodge, en Australie, aux Philippines, en Malaisie et en Afghanistan. De plus, selon les chercheurs en cybersécurité de l'Unit42 de Palo Alto Network, l'auteur de la menace a déployé un nouveau RAT (Remote Access Trojan) particulièrement furtif suivi sous le nom de "PingPull".

La menace PingPull est conçue pour infiltrer les appareils ciblés, puis créer une coque inversée sur eux. Par la suite, les attaquants auront la possibilité d'exécuter à distance des commandes arbitraires. Le rapport de Unit42 révèle que trois variantes distinctes de PingPull ont été identifiées. La principale différence entre eux est le protocole de communication utilisé - ICMP, HTTPS ou TCP. Il est probable que les pirates de Gallium choisissent la variante qui leur fournira les meilleures chances d'échapper à des méthodes de détection de réseau spécifiques ou à des outils de sécurité basés sur des informations précédemment acquises sur la cible.

Les trois variantes existent sur les machines infiltrées en tant que service qui a une description imitant celle d'un service légitime. Les commandes reconnues par les variantes sont également les mêmes. Ils vont de la manipulation du système de fichiers à l'exécution de commandes via cmd.exe, en passant par l'énumération des volumes de stockage, la possibilité d'arrêter les fichiers dans le temps et l'envoi de données au serveur Command-and-Control (C2, C&C) de l'opération. Le trafic entrant du C2 est crypté avec l'algorithme cryptographique AES. Pour déchiffrer les commandes et leurs paramètres, la balise dispose d'une paire de clés codées en dur.