Ein chinesischer Advanced Persistent Threat (APT) mit dem Namen Gallium hat bei seinen Spionageangriffen auf Unternehmen in Südostasien, Europa und Afrika einen bisher nicht dokumentierten Fernzugriffstrojaner eingesetzt.
Die „schwer zu entdeckende“ Hintertür namens PingPull zeichnet sich durch die Verwendung des Internet Control Message Protocol (ICMP) für die Befehls- und Kontrollkommunikation (C2) aus, so eine neue Untersuchung, die heute von Palo Alto Networks Unit 42 veröffentlicht wurde.
Gallium ist für seine Angriffe auf Telekommunikationsunternehmen bekannt, die bis ins Jahr 2012 zurückreichen. Der staatlich unterstützte Akteur, der von Cybereason auch unter dem Namen Soft Cell geführt wird, wurde seit 2017 mit einer Reihe von Angriffen auf fünf große Telekommunikationsunternehmen in südostasiatischen Ländern in Verbindung gebracht.
Im Laufe des letzten Jahres soll die Gruppe ihre Viktimologie jedoch auf Finanzinstitutionen und staatliche Einrichtungen in Afghanistan, Australien, Belgien, Kambodscha, Malaysia, Mosambik, den Philippinen, Russland und Vietnam ausgeweitet haben.
PingPull, eine auf Visual C++ basierende Malware, ermöglicht es einem Angreifer, auf eine Reverse Shell zuzugreifen und beliebige Befehle auf einem kompromittierten Rechner auszuführen. Dies umfasst die Ausführung von Dateioperationen, die Aufzählung von Speichermedien und das Timestomping von Dateien.
„PingPull-Samples, die ICMP für die C2-Kommunikation nutzen, senden ICMP Echo Request (ping) Pakete an den C2-Server“, so die Forscher. „Der C2-Server antwortet auf diese Echo-Requests mit einem Echo-Reply-Paket, um Befehle an das System zu senden.
Außerdem wurden PingPull-Varianten identifiziert, die statt mit ICMP mit HTTPS und TCP mit ihrem C2-Server kommunizieren, sowie über 170 IP-Adressen, die seit Ende 2020 mit der Gruppe in Verbindung gebracht werden.
Es ist nicht sofort klar, wie in die Zielnetzwerke eingedrungen wird, aber es ist bekannt, dass die Angreifer internetbasierte Anwendungen ausnutzen, um zunächst Fuß zu fassen und dann eine modifizierte Version der China Chopper Web Shell einzusetzen, um sich zu etablieren.
„Gallium bleibt eine aktive Bedrohung für Telekommunikations-, Finanz- und Regierungsorganisationen in Südostasien, Europa und Afrika“, so die Forscher.
„PingPull nutzt ICMP, um die Entdeckung seiner C2-Kommunikation zu erschweren, da nur wenige Organisationen den ICMP-Verkehr in ihren Netzwerken überprüfen“.