Peretas ‘Gallium’ China Menggunakan Malware PingPull Baru dalam Serangan Cyberspionage

  • Bagikan
PingPull Malware in Cyberespionage Attacks

Beritaini.top Peretas ‘Gallium’ China Menggunakan Malware PingPull Baru dalam Serangan Cyberspionage

PingPull Malware dalam Serangan Cyberespionage

Ancaman persisten tingkat lanjut (APT) China yang dikenal sebagai Gallium telah diamati menggunakan trojan akses jarak jauh yang sebelumnya tidak terdokumentasi dalam serangan spionasenya yang menargetkan perusahaan yang beroperasi di Asia Tenggara, Eropa, dan Afrika.

Ditelepon PingTarikbackdoor “sulit dideteksi” terkenal karena penggunaan Internet Control Message Protocol (ICMP) untuk komunikasi command-and-control (C2), menurut penelitian baru yang diterbitkan oleh Palo Alto Networks Unit 42 hari ini.

Keamanan cyber

Gallium dikenal karena serangannya terutama ditujukan pada perusahaan telekomunikasi sejak tahun 2012. Juga dilacak dengan nama Sel Lunak oleh Cybereason, aktor yang disponsori negara tersebut telah dikaitkan dengan serangkaian serangan yang lebih luas yang menargetkan lima perusahaan telekomunikasi besar yang berlokasi di negara-negara Asia Tenggara sejak 2017.

Namun, selama setahun terakhir, kelompok itu dikatakan telah memperluas jejak viktimologinya untuk memasukkan lembaga keuangan dan entitas pemerintah yang berlokasi di Afghanistan, Australia, Belgia, Kamboja, Malaysia, Mozambik, Filipina, Rusia, dan Vietnam.

PingPull Malware dalam Serangan Cyberespionage

PingPull, malware berbasis Visual C++, memberikan kemampuan kepada aktor ancaman untuk mengakses shell terbalik dan menjalankan perintah arbitrer pada host yang disusupi. Ini mencakup melakukan operasi file, menghitung volume penyimpanan, dan pencatat waktu file.

“Sampel PingPull yang menggunakan ICMP untuk komunikasi C2 mengeluarkan paket ICMP Echo Request (ping) ke server C2,” para peneliti merinci. “Server C2 akan membalas permintaan Echo ini dengan paket Echo Reply untuk mengeluarkan perintah ke sistem.”

Keamanan cyber

Juga diidentifikasi adalah varian PingPull yang mengandalkan HTTPS dan TCP untuk berkomunikasi dengan server C2-nya alih-alih ICMP dan lebih dari 170 alamat IP yang terkait dengan grup sejak akhir 2020.

Tidak segera jelas bagaimana jaringan yang ditargetkan dilanggar, meskipun aktor ancaman diketahui mengeksploitasi aplikasi yang terpapar internet untuk mendapatkan pijakan awal dan menyebarkan versi modifikasi dari jaringan tersebut. Helikopter Cina web shell untuk membangun kegigihan.

“Galium tetap menjadi ancaman aktif bagi telekomunikasi, keuangan, dan organisasi pemerintah di seluruh Asia Tenggara, Eropa, dan Afrika,” catat para peneliti.

“Meskipun penggunaan tunneling ICMP bukanlah teknik baru, PingPull menggunakan ICMP untuk membuatnya lebih sulit untuk mendeteksi komunikasi C2-nya, karena hanya sedikit organisasi yang menerapkan pemeriksaan lalu lintas ICMP di jaringan mereka.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.