Un acteur menaçant parrainé par l'État chinois a été vu en train d'utiliser un nouveau cheval de Troie d'accès à distance (RAT) dans ses campagnes d'espionnage contre des entreprises du monde entier. Les chercheurs en cybersécurité de l'Unité 42, la branche cybersécurité de Palo Alto Networks, ont récemment publié un rapport affirmant que Gallium, comme l'acteur de la menace est connu, utilise un logiciel malveillant (ouvre dans un nouvel onglet) appelé Ping Pull.

PingPull est une porte dérobée "difficile à détecter" qui communique avec votre serveur de commande et de contrôle (C2) via le protocole de message de contrôle Internet (ICMP) pas si courant. Il est basé sur C++ et permet aux pirates d'exécuter des commandes arbitraires sur le point de terminaison compromis (s'ouvre dans un nouvel onglet).

"Les échantillons PingPull qui utilisent ICMP pour les communications C2 envoient des paquets de requête d'écho ICMP (ping) au serveur C2", indique le rapport. "Le serveur C2 répondra à ces demandes d'écho avec un paquet de réponse d'écho pour envoyer des commandes au système."

télécommunications de destination

L'unité 42 a également trouvé des versions de PingPull qui communiquent via HTTPS et TCP, ainsi que plus de 170 adresses IP (ouvre dans un nouvel onglet) qui peuvent être associées à Gallium.

L'acteur de la menace parrainé par l'État a été repéré pour la première fois il y a dix ans, après quoi il a été lié à des attaques contre cinq grandes entreprises de télécommunications en Asie du Sud-Est, selon la publication. Le gallium a également été observé en train d'attaquer des entreprises en Europe et en Afrique. Cybereason l'appelle également Soft Cell.

Le jury ne sait toujours pas comment le groupe a réussi à compromettre les réseaux cibles, les médias spéculant qu'il n'a pas beaucoup dévié de sa méthodologie habituelle d'exploitation des applications exposées à Internet. Il utiliserait ensuite ces applications pour déployer des virus (ouvre un nouvel onglet) ou le shell Web China Chopper.

"Le gallium reste une menace active pour les télécommunications, la finance et les organisations gouvernementales en Asie du Sud-Est, en Europe et en Afrique", ont ajouté les chercheurs. "Bien que l'utilisation de tunnels ICMP ne soit pas une nouvelle technique, PingPull utilise ICMP pour rendre plus difficile la détection de ses communications C2, car peu d'organisations mettent en œuvre l'inspection du trafic ICMP sur leurs réseaux."

Via : Hacker News (Ouvre dans un nouvel onglet)

Share