13/06/2022

Chinese 'Gallium' Hackers Using New PingPull Malware in Cyberespionage Attacks



Một mối đe dọa dai dẳng nâng cao của Trung Quốc (APT) được gọi là Gallium đã được quan sát thấy bằng cách sử dụng trojan truy cập từ xa không có giấy tờ trước đây trong các cuộc tấn công gián điệp nhắm vào các công ty hoạt động ở Đông Nam Á, Châu Âu và Châu Phi.

Được gọi là PingPull , cửa sau "khó phát hiện" đáng chú ý vì nó sử dụng Giao thức thông báo điều khiển Internet ( ICMP ) cho giao tiếp lệnh và kiểm soát (C2), theo nghiên cứu mới được công bố bởi Palo Alto Networks Unit 42 hôm nay.

Gallium được biết đến với các cuộc tấn công chủ yếu nhắm vào các công ty viễn thông có từ năm 2012. Cũng được theo dõi dưới tên Soft Cell bởi Cybereason, diễn viên được nhà nước tài trợ đã có liên quan đến một loạt các cuộc tấn công nhắm vào năm công ty viễn thông lớn ở Đông Nam. Các nước Châu Á kể từ năm 2017.

Tuy nhiên, trong năm qua, nhóm được cho là đã mở rộng dấu vết nạn nhân của mình bao gồm các tổ chức tài chính và các tổ chức chính phủ đặt tại Afghanistan, Australia, Bỉ, Campuchia, Malaysia, Mozambique, Philippines, Nga Việt Nam.

PingPull, một phần mềm độc hại dựa trên Visual C ++, cung cấp cho tác nhân mối đe dọa khả năng truy cập vào một trình bao đảo ngược và chạy các lệnh tùy ý trên một máy chủ bị xâm phạm. Điều này bao gồm việc thực hiện các hoạt động tệp, liệt kê dung lượng lưu trữ và tệp phân tích thời gian .

"Các mẫu PingPull sử dụng ICMP cho giao tiếp C2 sẽ đưa các gói ICMP Echo Request (ping) tới máy chủ C2", các nhà nghiên cứu chi tiết. "Máy chủ C2 sẽ trả lời các yêu cầu Echo này bằng một gói Echo Reply để đưa ra các lệnh cho hệ thống."

Cũng được xác định là các biến thể PingPull dựa trên HTTPS TCP để giao tiếp với máy chủ C2 của nó thay vì ICMP và hơn 170 địa chỉ IP được liên kết với nhóm kể từ cuối năm 2020.

Không rõ ngay lập tức các mạng được nhắm mục tiêu bị xâm phạm như thế nào, mặc dù tác nhân đe dọa được biết là khai thác các ứng dụng tiếp xúc với internet để đạt được chỗ đứng ban đầu và triển khai phiên bản sửa đổi của giao diện web China Chopper để thiết lập tính bền bỉ.

Các nhà nghiên cứu lưu ý: “Gali vẫn là một mối đe dọa tích cực đối với viễn thông, tài chính và các tổ chức chính phủ trên khắp Đông Nam Á, Châu Âu và Châu Phi.

"Mặc dù việc sử dụng đường hầm ICMP không phải là một kỹ thuật mới, nhưng PingPull sử dụng ICMP để làm cho việc phát hiện các liên lạc C2 của nó trở nên khó khăn hơn, vì rất ít tổ chức thực hiện kiểm tra lưu lượng ICMP trên mạng của họ."

Mọi người nên phòng tránh về cửa hậu này nhé, rất nguy hiểm và nhiều tiềm ẩn.

Nguồn : TheHackerNews
Rated 4.3/5 based on 9 votes

5 comments:

  1. mấy ông này thuộc dạng quá am hiểu về ngôn ngữ lập trình r, không phải như chúng ta đang còn tìm hiểu và nghiên cứu nữa đâu e, cứ bỏ tay vào là có virus và né được trang phòng tránh virus thôi

    ReplyDelete
    Replies
    1. chắc mấy ông này vừa có tài tìm hiểu mà chắc cũng là nhưng coder của công ty lớn nào rồi, chứ ít ng` hiểu hết về windows để tạo backdoor (cửa sau nguy hiểm vậy đâu a )

      Delete
  2. với hệ thống này thì chúng ta không cần làm gì nhiều chỉ cần tắt internet đi vậy là xomg :v, một cách để loại bỏ cửa sau haha

    ReplyDelete
    Replies
    1. Quay lại thời kỳ đồ đá 1935 chắc tốt :v

      Delete
    2. Haha, đúng r` bạn chỉ cần tắt internet đi là có thể loại bỏ, nhưng một khi đã nhúng chân vào thì rất rát nhé :))

      Delete

Followers

NEW COMMENT'S