Исследователи Unit 42 недавно обнаружили новый вариант вредоносной программы PingPull, используемой агентами Alloy Taurus и предназначенной для атак на системы Linux. Отслеживая инфраструктуру, используемую субъектами для этого варианта PingPull, Unit 42 также выявили использование ими другого бэкдора, который отслеживает как Sword2033.
Первые образцы вредоносного ПО PingPull датируются сентябрем 2021 года.
Alloy Taurus (также известная как GALLIUM, Softcell), действующая как минимум с 2012 года, по оценкам, является китайской группой передовых постоянных угроз (APT), которая регулярно проводит кампании кибершпионажа. Исторически эта группа нацелена на телекоммуникационные компании, работающие в Азии, Европе и Африке. В последние годы мы также наблюдаем, как группа расширяет свои цели, включая финансовые учреждения и государственные структуры.
Indicators of Compromise
IPv4
- 196.216.136.139
- 5.181.25.99
Domains
- *.saspecialforces.co.za
- vpn729380678.softether.net
- yrhsywu2009.zapto.org
SHA256
- 5ba043c074818fdd06ae1d3939ddfe7d3d35bab5d53445bc1f2f689859a87507
- cb0922d8b130504bf9a3078743294791201789c5a3d7bc0369afd096ea15f0ae
- e39b5c32ab255ad284ae6d4dae8b4888300d4b5df23157404d9c8be3f95b3253