Ένας κινεζικός κρατικός φορέας απειλών, γνωστός ως Gallium, χρησιμοποιεί νέο κακόβουλο λογισμικό σε πρόσφατες επιθέσεις που στοχεύουν οργανισμούς στους τηλεπικοινωνιακούς, οικονομικούς και κυβερνητικούς τομείς, αναφέρει η Palo Alto Networks.
Παρακολούθησε επίσης ως Softcell και πιθανότατα ενεργό τουλάχιστον από το 2017, το APT είχε προηγουμένως θεωρηθεί ότι στοχεύει τον κλάδο των τηλεπικοινωνιών και χρησιμοποιεί ένα ευρύ σύνολο εργαλείων για την επίτευξη των σκοπών του, συμπεριλαμβανομένων δημόσιων υπηρεσιών, βοηθητικών προγραμμάτων εκτός ραφιού και προσαρμοσμένου κακόβουλου λογισμικού.
Προηγουμένως, είχε δει να χρησιμοποιεί HTRAN, Mimikatz, NBTScan, Netcat, PsExec, Windows Credential Editor (WCE) και WinRAR για αναγνώριση και πλευρική κίνηση. κελύφη Ιστού όπως το BlackMould και το China Chopper. και κακόβουλο λογισμικό όπως το Gh0st RAT και το Poison Ivy.
Κατά τη διάρκεια του περασμένου έτους, οι ερευνητές ασφαλείας της Palo Alto Networks παρατήρησαν νέα δραστηριότητα Gallium που, εκτός από τις εταιρείες τηλεπικοινωνιών, στόχευσε επίσης χρηματοπιστωτικά ιδρύματα και κυβερνητικές οντότητες. Ο κύριος σκοπός των επιθέσεων φαίνεται να είναι η κατασκοπεία.
Η Palo Alto Networks κατάφερε να συνδέσει την υποδομή των επιτιθέμενων με θύματα στην Αυστραλία, το Αφγανιστάν, το Βέλγιο, την Καμπότζη, τη Μοζαμβίκη, τη Μαλαισία, τις Φιλιππίνες, τη Ρωσία και το Βιετνάμ.
Η εταιρεία κυβερνοασφάλειας ανακάλυψε επίσης τη χρήση μιας νέας οικογένειας κακόβουλου λογισμικού που ονομάζεται PingPull. Η απειλή είναι ένας νέος trojan απομακρυσμένης πρόσβασης (RAT) που χρησιμοποιεί τρία διαφορετικά πρωτόκολλα για εντολή και έλεγχο (C&C) – συγκεκριμένα ICMP, HTTP(S) και ακατέργαστο TCP. Με λίγους οργανισμούς που εφαρμόζουν επιθεώρηση κυκλοφορίας ICMP στα δίκτυά τους, η χρήση της διοχέτευσης ICMP καθιστά δύσκολο τον εντοπισμό του RAT.
Γραπτό σε Visual C++, το PingPull δημιουργεί ένα αντίστροφο κέλυφος στο παραβιασμένο σύστημα και επιτρέπει στους εισβολείς να εκτελούν εντολές για απαρίθμηση τόμων αποθήκευσης, λίστα περιεχομένων φακέλων, ανάγνωση και εγγραφή αρχείων, χειρισμό αρχείων, δημιουργία καταλόγων και εκτέλεση εντολών.
Περιστρέφοντας τους τομείς που σχετίζονται με διάφορα δείγματα PingPull, οι ερευνητές ασφαλείας εντόπισαν τελικά πάνω από 170 διευθύνσεις IP που χρησιμοποιεί ο παράγοντας απειλής από τα τέλη του 2020.
«Το γάλλιο παραμένει ενεργή απειλή για τις τηλεπικοινωνίες, τη χρηματοδότηση και τους κυβερνητικούς οργανισμούς σε όλη τη Νοτιοανατολική Ασία, την Ευρώπη και την Αφρική . Κατά τη διάρκεια του περασμένου έτους, εντοπίσαμε στοχευμένες επιθέσεις που επηρεάζουν εννέα έθνη», καταλήγει η Palo Alto Networks.
Την περασμένη εβδομάδα, αρκετές κυβερνητικές υπηρεσίες των ΗΠΑ εξέδωσαν μια κοινή συμβουλευτική για την ασφάλεια στον κυβερνοχώρο για να παρέχουν πληροφορίες σχετικά με τις τεχνικές και τις τακτικές που χρησιμοποιούνται από παράγοντες απειλών που συνδέονται με την Κίνα σε επιθέσεις που στοχεύουν σε εταιρείες τηλεπικοινωνιών και παρόχους υπηρεσιών δικτύου.
