Các nhà nghiên cứu đã theo dõi một chiến dịch tấn công mạng APT Trung Quốc gọi là Gallium bằng cách sử dụng trojan truy cập từ xa không có giấy tờ trước đây trong các cuộc tấn công gián điệp nhắm vào các công ty hoạt động ở Đông Nam Á, Châu Âu và Châu Phi.
Theo nghiên cứu mới được Palo Alto Networks Unit 42 công bố hôm nay, Gallium được gọi là PingPull, cửa sau “khó phát hiện” đáng chú ý vì nó sử dụng Giao thức thông báo điều khiển mạng (ICMP) cho “máy chủ điều khiển và lệnh” (C2).
Pingpull là một phần mềm độc hại dựa trên Visual C ++, cung cấp cho tác nhân mối đe dọa khả năng truy cập vào một trình bao đảo ngược và chạy các lệnh tùy ý trên một máy chủ bị xâm phạm. Điều này bao gồm việc thực hiện các hoạt động tệp, liệt kê dung lượng lưu trữ và tệp phân tích thời gian.
“Các mẫu PingPull sử dụng ICMP cho giao tiếp C2 sẽ đưa các gói ICMP Echo Request (ping) tới máy chủ C2”, các nhà nghiên cứu nêu chi tiết. “Máy chủ C2 sẽ trả lời các yêu cầu Echo này bằng một gói Echo Reply để đưa ra các lệnh cho hệ thống.”
Gallium được biết đến với các cuộc tấn công chủ yếu nhắm vào các công ty viễn thông có từ năm 2012. Cũng được theo dõi dưới tên Soft Cell bởi Cybereason, tác nhân do nhà nước tài trợ này có liên quan đến một loạt các cuộc tấn công nhắm vào năm công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.
Tuy nhiên, trong năm qua, nhóm này được cho mở rộng phạm vi bao gồm các tổ chức tài chính và các tổ chức chính phủ đặt tại Afghanistan, Australia, Bỉ, Campuchia, Malaysia, Mozambique, Philippines, Nga và Việt Nam.
Cũng được xác định là các biến thể PingPull dựa trên HTTPS và TCP để giao tiếp với máy chủ C2 của nó thay vì ICMP và hơn 170 địa chỉ IP được liên kết với nhóm kể từ cuối năm 2020.
Các nhà nghiên cứu lưu ý: “Gali vẫn là một mối đe dọa tích cực đối với viễn thông, tài chính và các tổ chức chính phủ trên khắp Đông Nam Á, Châu Âu và Châu Phi.”
“Mặc dù việc sử dụng đường hầm ICMP không phải là một kỹ thuật mới, nhưng PingPull sử dụng ICMP để làm cho việc phát hiện các liên lạc C2 của nó trở nên khó khăn hơn, vì rất ít tổ chức thực hiện kiểm tra lưu lượng ICMP trên mạng của họ.”
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://thehackernews.com/2022/06/chinese-gallium-hackers-using-new.html
