Unit 42 Research
Angreifer erweitern Angriffsziele mit PingPull-Tool
Neue Erkenntnisse von Unit 42 Research: Erweiterte Angriffsziele in den Bereichen Telekommunikation, Behörden und Finanzen
Unit 42 hat kürzlich einen neuen, schwer zu entdeckenden Remote-Access-Trojaner namens PingPull identifiziert, der von GALLIUM, einer APT-Gruppe (Advanced Persistent Threat), eingesetzt wird
Unit 42 überwacht aktiv die Infrastruktur mehrerer APT-Gruppen. Eine dieser Gruppen, GALLIUM (auch bekannt als Operation Soft Cell), hat sich einen Namen gemacht, indem sie Telekommunikationsunternehmen in Südostasien, Europa und Afrika ins Visier nahm. Die geografische Ausrichtung, der Branchenfokus und ihre technischen Fähigkeiten in Verbindung mit der Verwendung bekannter chinesischer Malware sowie Taktiken, Techniken und Verfahren (Techniques, Tactics, and Procedures, TTPs) haben zu der Einschätzung geführt, dass es sich wahrscheinlich um eine vom chinesischen Staat gesponserte Gruppe handelt.
Im Laufe des letzten Jahres hat diese Gruppe ihre Angriffe nicht nur auf Telekommunikationsunternehmen, sondern auch auf Finanzinstitute und staatliche Einrichtungen ausgeweitet. In diesem Zeitraum haben die Forscher von Unit 42 mehrere Verbindungen zwischen der GALLIUM-Infrastruktur und Zielpersonen in Afghanistan, Australien, Belgien, Kambodscha, Malaysia, Mosambik, den Philippinen, Russland und Vietnam festgestellt. Vor allem aber haben sie festgestellt, dass die Gruppe einen neuen Fernzugriffstrojaner namens PingPull einsetzt.
PingPull ist in der Lage, drei Protokolle – ICMP, HTTP(S) und Raw TCP – für die Befehls- und Kontrollfunktion (C2) zu nutzen. Die Verwendung von ICMP-Tunneling ist zwar keine neue Technik, doch PingPull nutzt ICMP, um die Entdeckung seiner C2-Kommunikation zu erschweren, da nur wenige Unternehmen eine Überprüfung des ICMP-Verkehrs in ihren Netzwerken implementieren. Der aktuelle Blog von Unit 42 bietet eine detaillierte Aufschlüsselung dieses neuen Tools sowie der jüngsten Infrastruktur der GALLIUM-Gruppe.
Kunden von Palo Alto Networks erhalten Schutz vor den beschriebenen Bedrohungen durch Threat Prevention, Advanced URL Filtering, DNS Security, Cortex XDR und WildFire für Malware-Analyse.
GALLIUM bleibt eine aktive Bedrohung für Telekommunikations- und Finanzunternehmen sowie Regierungsorganisationen in Südostasien, Europa und Afrika. Im Laufe des letzten Jahres haben die Forscher gezielte Angriffe auf neun Länder festgestellt. Diese Gruppe hat zuletzt eine neue Fähigkeit namens PingPull zur Unterstützung ihrer Spionageaktivitäten eingesetzt. Unit 42 empfiehlt, die vorliegenden Erkenntnisse zu nutzen, um Schutzmaßnahmen zur Abwehr dieser Bedrohungsgruppe zu ergreifen.
Besonderer Dank gilt dem NSA Cybersecurity Collaboration Center, dem Australian Cyber Security Centre und anderen Regierungspartnern für die Zusammenarbeit und die Einblicke, die sie zur Unterstützung dieser Untersuchung gegeben haben.
Palo Alto Networks hat diese Ergebnisse, einschließlich Dateimustern und Indikatoren für eine Kompromittierung, mit den anderen Mitgliedern der Cyber Threat Alliance geteilt. Die CTA-Mitglieder nutzen diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen zu bieten und Angreifer systematisch zu stören.
