PingPull Trojan IOCs

Palo Alto Unit 42 недавно обнаружило новый, трудно обнаруживаемый троян удаленного доступа под названием PingPull, используемый группой GALLIUM.

PingPull Trojan

PingPull способен использовать три протокола (ICMP, HTTP(S) и необработанный TCP) для командования и управления (C2). Хотя использование ICMP-туннелирования не является новой техникой, PingPull использует ICMP, чтобы усложнить обнаружение своих C2-коммуникаций, поскольку немногие организации применяют проверку ICMP-трафика в своих сетях.

PingPull был написан на Visual C++ и предоставляет возможность запускать команды и получать доступ к обратному командному интерпретатору на скомпрометированном узле. Существует три варианта PingPull, которые функционально одинаковы, но используют различные протоколы для связи со своим C2: ICMP, HTTP(S) и необработанный TCP. В каждом из вариантов PingPull создает пользовательскую строку со следующей структурой, которую он отправляет на C2 во всех взаимодействиях, и которую, как мы полагаем, сервер C2 будет использовать для уникальной идентификации взломанной системы:

PROJECT_[uppercase executable name]_[uppercase computer name]_[uppercase hexadecimal IP address]

Независимо от варианта, PingPull способен установить себя в качестве службы со следующим описанием:

Обеспечивает туннельное соединение с использованием технологий перехода на IPv6 (6to4, ISATAP, Port Proxy и Teredo), а также IP-HTTPS. Если эта служба остановлена, компьютер не будет иметь расширенных преимуществ подключения, которые обеспечивают эти технологии.

Описание полностью совпадает с описанием легитимной службы iphlpsvc, которую PingPull намеренно пытается имитировать, используя Iph1psvc для имени службы и IP He1per вместо IP Helper для отображения имени. Мы также видели образец PingPull, использующий такое же описание службы, но с именем службы Onedrive.

Три варианта PingPull имеют одинаковые команды, доступные в обработчиках команд. Команды, приведенные в таблице 1, показывают, что PingPull способен выполнять различные действия в файловой системе, а также выполнять команды cmd.exe, который действует как обратная оболочка для агента.

Indicators of Compromise

IPv4

  • 101.36.102.34
  • 101.36.102.93
  • 101.36.114.167
  • 101.36.123.191
  • 103.116.47.65
  • 103.123.134.139
  • 103.123.134.145
  • 103.123.134.161
  • 103.123.134.165
  • 103.123.134.240
  • 103.137.185.249
  • 103.169.91.93
  • 103.169.91.94
  • 103.170.132.199
  • 103.179.188.93
  • 103.192.226.43
  • 103.22.183.131
  • 103.22.183.138
  • 103.22.183.141
  • 103.22.183.146
  • 103.51.145.143
  • 103.61.139.71
  • 103.61.139.72
  • 103.61.139.74
  • 103.61.139.75
  • 103.61.139.78
  • 103.61.139.79
  • 103.78.242.62
  • 103.85.24.121
  • 103.85.24.81
  • 107.150.110.233
  • 107.150.112.211
  • 107.150.127.124
  • 107.150.127.140
  • 118.193.56.130
  • 118.193.56.131
  • 118.193.62.232
  • 123.58.196.208
  • 123.58.198.205
  • 123.58.203.19
  • 128.14.232.56
  • 137.220.55.38
  • 146.185.218.176
  • 146.185.218.65
  • 152.32.165.70
  • 152.32.203.199
  • 152.32.221.222
  • 152.32.221.242
  • 152.32.245.157
  • 152.32.255.145
  • 154.222.238.50
  • 154.222.238.51
  • 165.154.52.41
  • 165.154.70.51
  • 165.154.70.62
  • 167.88.182.107
  • 167.88.182.166
  • 176.113.68.12
  • 176.113.71.168
  • 176.113.71.62
  • 185.101.139.176
  • 185.239.226.203
  • 185.239.227.12
  • 185.239.227.34
  • 188.241.250.152
  • 188.241.250.153
  • 193.187.117.144
  • 194.29.100.173
  • 196.46.190.27
  • 2.58.242.229
  • 2.58.242.230
  • 2.58.242.231
  • 2.58.242.232
  • 2.58.242.235
  • 2.58.242.236
  • 202.87.223.27
  • 212.115.54.241
  • 212.115.54.54
  • 37.61.229.104
  • 37.61.229.106
  • 43.254.218.104
  • 43.254.218.114
  • 43.254.218.43
  • 43.254.218.57
  • 43.254.218.98
  • 45.116.13.153
  • 45.121.50.230
  • 45.128.221.169
  • 45.128.221.172
  • 45.128.221.182
  • 45.128.221.186
  • 45.128.221.229
  • 45.128.221.61
  • 45.128.221.66
  • 45.133.238.234
  • 45.134.169.147
  • 45.136.187.41
  • 45.136.187.98
  • 45.14.66.230
  • 45.154.14.132
  • 45.154.14.164
  • 45.154.14.188
  • 45.154.14.191
  • 45.154.14.254
  • 45.251.241.74
  • 45.251.241.82
  • 45.76.113.163
  • 47.254.192.79
  • 47.254.250.117
  • 5.181.25.55
  • 5.188.33.237
  • 5.8.71.97
  • 79.133.124.88
  • 81.28.13.48
  • 89.43.107.190
  • 89.43.107.191
  • 92.223.30.232
  • 92.223.30.52
  • 92.223.59.84
  • 92.223.90.174
  • 92.223.93.148
  • 92.223.93.222
  • 92.38.135.62
  • 92.38.139.170
  • 92.38.149.101
  • 92.38.149.241
  • 92.38.149.88
  • 92.38.171.127
  • 92.38.176.47

Domains

  • df.micfkbeljacob.com
  • goodjob36.publicvm.com
  • goodluck23.jp.us
  • helpinfo.publicvm.com
  • hinitial.com
  • jack.micfkbeljacob.com
  • mailedc.publicvm.com
  • micfkbeljacob.com
  • t1.hinitial.com
  • v2.hinitial.com
  • v3.hinitial.com
  • v4.hinitial.com
  • v5.hinitial.com

SHA256

  • 8b664300fff1238d6c741ac17294d714098c5653c3ef992907fc498655ff7c20
  • b4aabfb8f0327370ce80970c357b84782eaf0aabfc70f5e7340746f25252d541
  • c55ab8fdd060fb532c599ee6647d1d7b52a013e4d8d3223b361db86c1f43e845
  • de14f22c88e552b61c62ab28d27a617fb8c0737350ca7c631de5680850282761
  • f86ebeb6b3c7f12ae98fe278df707d9ebdc17b19be0c773309f9af599243d0a3
  • fc2147ddd8613f08dd833b6966891de9e5309587a61e4b35408d56f43e72697e
SEC-1275-1
Добавить комментарий