قراصنة GALLIUM APT يستخدمون أداة القرصنة الجديدة "PingPull" للهجوم على قطاعي الاتصالات والحكومة

 

تستخدم مجموعة APT المسماة GALLIUM مؤخرًا حصان طروادة جديد يصعب اكتشافه للوصول عن بُعد يسمى PingPull. تم التعرف على طروادة من قبل خبراء الأمن في وحدة الأمن 42 كجزء من أبحاثهم .

بالإضافة إلى مراقبة العديد من مجموعات APT ، تراقب الوحدة 42 أيضًا البنية التحتية الخاصة بها أيضًا. رسخت GALLIUM سمعتها من خلال استهداف شركات الاتصالات العاملة في المناطق التالية: -

• جنوب شرق آسيا
• أوروبا
• أفريقيا

الأهداف الرئيسية

بينما مجموعة APT ، قراصنة Gallium الذين ترعاهم الدولة يستهدفون بشكل أساسي القطاعات التالية باستخدام أداة PingPull RAT الجديدة: -

• المؤسسات المالية
• الجهات الحكومية
• الإتصالات

• فيما يلي الدول التي توجد فيها هذه الكيانات: -

  • أستراليا
  • روسيا
  • فيلبيني
  • بلجيكا
  • فيتنام
  • ماليزيا
  • كمبوديا
  • أفغانستان

  من المفترض أن يقع Gallium في الصين ، ويُعتقد أن نطاقه المستهدف في عمليات التجسس يتماشى مع إغراءات البلاد.

  بينج بول

  يمكن لممثل التهديد الوصول إلى مضيف مخترق باستخدام PingPull ، وهو تطبيق Visual C ++ يقوم بتشغيل الأوامر والوصول إلى shell العكسي. في PingPull ، توجد ثلاثة إصدارات بدون تمييز وظيفي ، ولكن كل واحد يستخدم مجموعة البروتوكولات الخاصة به للتواصل مع C2 الخاص به: -

  • ICMP
  • HTTP (S)
  • TCP الخام

  

  قد تكون هناك بروتوكولات C2 مختلفة ، حيث قد تنشر الجهات الفاعلة المتغير المناسب بناءً على الاستطلاع الأولي الذي يتجنب طرق / أدوات الكشف المحددة المرتبطة باكتشاف شبكات معينة.

  خيارات سطر الأوامر التالية مدعومة من قبل جميع المتغيرات الثلاثة: -

  • تعداد وحدات التخزين (أ: حتى ي :)
  • محتويات مجلد قائمة
  • إقرا الملف
  • اكتب الملف
  • حذف ملف
  • قراءة الملف وتحويله إلى شكل سداسي عشري
  • كتابة ملف وتحويله من شكل سداسي عشري
  • يضبط نسخ الملف أوقات الإنشاء والكتابة والوصول لمطابقة الملفات الأصلية
  • نقل الملف ، وتعيين أوقات الإنشاء والكتابة والوصول لمطابقة الملفات الأصلية
  • إنشاء دليل
  • ملف Timestomp
  • قم بتشغيل الأمر عبر cmd.exe

  لفك تشفير هذه الأوامر ، يحتاج المرشد إلى زوج من المفاتيح المشفرة من أجل فك تشفيرها حيث يتم إرسالها من C2 في شكل مشفر AES.

  

  التوصيات

  فيما يلي أوصى باحثو الأمن السيبراني باتباع إجراءات التخفيف التالية: -

• • تم اكتشاف برنامج PingPull الضار بواسطة Cortex XDR وحمايته منه. 
  • تم تحديد برنامج PingPull الضار بشكل صحيح على أنه خبيث بواسطة WildFire باستخدام خدمة تحليل التهديدات المستندة إلى مجموعة النظراء. 
  • تأكد من استخدام مجموعة أدوات مكافحة فيروسات قوية.
  • يتم تحديد المجالات المتصلة بهذه المجموعة على أنها ضارة بواسطة تصفية عناوين URL المتقدمة وأمان DNS.

  علاوة على ذلك ، في الوقت الحالي ، قامت مجموعة APT ، Galium أيضًا بتنويع نطاقها لتشمل عددًا من الشركات الحكومية الرئيسية بالإضافة إلى عدد من المؤسسات المالية الكبرى.