Νέες αναφορές δείχνουν ότι η κρατική hacking ομάδα Gallium χρησιμοποιεί ένα νέο trojan απομακρυσμένης πρόσβασης με το όνομα “PingPull RAT” και στοχεύει κυβερνητικές υπηρεσίες και χρηματοπιστωτικά ιδρύματα στην Ευρώπη, τη Νοτιοανατολική Ασία και την Αφρική.
Τα θύματα έχουν έδρα στην Αυστραλία, τη Ρωσία, τις Φιλιππίνες, το Βέλγιο, το Βιετνάμ, τη Μαλαισία, την Καμπότζη και το Αφγανιστάν.
Δείτε επίσης: Ψεύτικα Coinbase, MetaMask wallet apps κλέβουν cryptocurrency
Πιστεύεται ότι η hacking ομάδα Gallium σχετίζεται με την Κίνα και οι στόχοι (τηλεπικοινωνιακοί πάροχοι, χρηματοοικονομικές και κυβερνητικές υπηρεσίες) σε επιχειρήσεις κατασκοπείας ευθυγραμμίζονται με τα συμφέροντα της χώρας.
Σύμφωνα με αναλυτές της Unit42 (Palo Alto Networks), η Gallium χρησιμοποιεί ένα νέο RAT, το οποίο λειτουργεί αρκετά ύπουλα.
Οι ερευνητές λένε ότι το PingPull RAT έχει σχεδιαστεί για να παρέχει στους παράγοντες απειλών ένα Reverse shell στο παραβιασμένο μηχάνημα. Με αυτόν τον τρόπο, οι επιτιθέμενοι μπορούν να εκτελούν εντολές εξ αποστάσεως. Η Unit42 εντόπισε τρεις διαφορετικές παραλλαγές με παρόμοια λειτουργικότητα που χρησιμοποιούν διαφορετικά πρωτόκολλα επικοινωνίας C2: ICMP, HTTPS και TCP.
Τα διαφορετικά πρωτόκολλα C2 μπορεί να αποσκοπούν στην αποφυγή συγκεκριμένων μεθόδων-εργαλείων ανίχνευσης δικτύου, με τους επιτιθέμενους να αναπτύσσουν την κατάλληλη παραλλαγή με βάση το αρχικό reconnaissance.
Δείτε επίσης: Πώς να βρείτε αν τα passwords σας έχουν διαρρεύσει στο διαδίκτυο;
Και στις τρεις περιπτώσεις, το κακόβουλο λογισμικό εγκαθίσταται ως υπηρεσία και έχει μια περιγραφή που προσομοιώνει μια νόμιμη υπηρεσία, με στόχο να αποθαρρύνει τους χρήστες από τον τερματισμό της.
Μερικές από τις εντολές που υποστηρίζουν και οι τρεις παραλλαγές είναι:
- Έλεγχος storage volumes
- Λίστα περιεχομένων φακέλου
- Ανάγνωση αρχείου
- Εγγραφή αρχείου
- Διαγραφή φακέλου
- Δημιουργία directory
- Timestomp file
- Εκτέλεση εντολής μέσω cmd .exe κ.ά.
Gallium hackers
Η υποδομή που ανακάλυψαν οι ερευνητές της Unit 42 και τη συνέδεσαν με την κρατική hacking ομάδα Gallium, περιλαμβάνει περισσότερες από 170 διευθύνσεις IP, ορισμένες από τις οποίες χρονολογούνται από τα τέλη του 2020.
Η Microsoft είχε αναφερθεί σε αυτή την ομάδα το 2019, όταν οι hackers στόχευαν κατά βάση τηλεπικοινωνιακούς παρόχους.
Η ομάδα παρακολουθείται και ως Soft Cell από την Cybereason.
Δείτε επίσης: FakeCrack: Malware διανέμεται μέσω ψεύτικου Windows CCleaner Pro!
Οι πιο πρόσφατες εκστρατείες της Gallium έφεραν στο φως ένα νέο RAT, το οποίο δείχνει ότι η hacking ομάδα εξακολουθεί να είναι ενεργή και να αποτελεί απειλή. Επιπλέον, η Gallium δεν στοχεύει πλέον μόνο τις τηλεπικοινωνίες αλλά και κυβερνητικές και χρηματοοικονομικές υπηρεσίες σχεδόν σε όλο τον κόσμο (Ασία, Αφρική, Ευρώπη και Αυστραλία).
Δεν είναι σαφές πώς παραβιάζονται τα δίκτυα, αν και οι συγκεκριμένοι hackers εκμεταλλεύονται συνήθως εφαρμογές που εκτίθενται στο διαδίκτυο για να αποκτήσουν μια αρχική πρόσβαση και να αναπτύξουν μια τροποποιημένη έκδοση του China Chopper web shell για να εδραιώσουν persistence.
Περισσότερες λεπτομέρειες για τον τρόπο λειτουργίας του RAT και για τις μεθόδους προστασίας, μπορείτε να βρείτε στην έκθεση της Unit 42.
Πηγή: www.bleepingcomputer.com