Palo Alto Unit 42 недавно обнаружило новый, трудно обнаруживаемый троян удаленного доступа под названием PingPull, используемый группой GALLIUM.
PingPull Trojan
PingPull способен использовать три протокола (ICMP, HTTP(S) и необработанный TCP) для командования и управления (C2). Хотя использование ICMP-туннелирования не является новой техникой, PingPull использует ICMP, чтобы усложнить обнаружение своих C2-коммуникаций, поскольку немногие организации применяют проверку ICMP-трафика в своих сетях.
PingPull был написан на Visual C++ и предоставляет возможность запускать команды и получать доступ к обратному командному интерпретатору на скомпрометированном узле. Существует три варианта PingPull, которые функционально одинаковы, но используют различные протоколы для связи со своим C2: ICMP, HTTP(S) и необработанный TCP. В каждом из вариантов PingPull создает пользовательскую строку со следующей структурой, которую он отправляет на C2 во всех взаимодействиях, и которую, как мы полагаем, сервер C2 будет использовать для уникальной идентификации взломанной системы:
PROJECT_[uppercase executable name]_[uppercase computer name]_[uppercase hexadecimal IP address]
Независимо от варианта, PingPull способен установить себя в качестве службы со следующим описанием:
Обеспечивает туннельное соединение с использованием технологий перехода на IPv6 (6to4, ISATAP, Port Proxy и Teredo), а также IP-HTTPS. Если эта служба остановлена, компьютер не будет иметь расширенных преимуществ подключения, которые обеспечивают эти технологии.
Описание полностью совпадает с описанием легитимной службы iphlpsvc, которую PingPull намеренно пытается имитировать, используя Iph1psvc для имени службы и IP He1per вместо IP Helper для отображения имени. Мы также видели образец PingPull, использующий такое же описание службы, но с именем службы Onedrive.
Три варианта PingPull имеют одинаковые команды, доступные в обработчиках команд. Команды, приведенные в таблице 1, показывают, что PingPull способен выполнять различные действия в файловой системе, а также выполнять команды cmd.exe, который действует как обратная оболочка для агента.
Indicators of Compromise
IPv4
- 101.36.102.34
- 101.36.102.93
- 101.36.114.167
- 101.36.123.191
- 103.116.47.65
- 103.123.134.139
- 103.123.134.145
- 103.123.134.161
- 103.123.134.165
- 103.123.134.240
- 103.137.185.249
- 103.169.91.93
- 103.169.91.94
- 103.170.132.199
- 103.179.188.93
- 103.192.226.43
- 103.22.183.131
- 103.22.183.138
- 103.22.183.141
- 103.22.183.146
- 103.51.145.143
- 103.61.139.71
- 103.61.139.72
- 103.61.139.74
- 103.61.139.75
- 103.61.139.78
- 103.61.139.79
- 103.78.242.62
- 103.85.24.121
- 103.85.24.81
- 107.150.110.233
- 107.150.112.211
- 107.150.127.124
- 107.150.127.140
- 118.193.56.130
- 118.193.56.131
- 118.193.62.232
- 123.58.196.208
- 123.58.198.205
- 123.58.203.19
- 128.14.232.56
- 137.220.55.38
- 146.185.218.176
- 146.185.218.65
- 152.32.165.70
- 152.32.203.199
- 152.32.221.222
- 152.32.221.242
- 152.32.245.157
- 152.32.255.145
- 154.222.238.50
- 154.222.238.51
- 165.154.52.41
- 165.154.70.51
- 165.154.70.62
- 167.88.182.107
- 167.88.182.166
- 176.113.68.12
- 176.113.71.168
- 176.113.71.62
- 185.101.139.176
- 185.239.226.203
- 185.239.227.12
- 185.239.227.34
- 188.241.250.152
- 188.241.250.153
- 193.187.117.144
- 194.29.100.173
- 196.46.190.27
- 2.58.242.229
- 2.58.242.230
- 2.58.242.231
- 2.58.242.232
- 2.58.242.235
- 2.58.242.236
- 202.87.223.27
- 212.115.54.241
- 212.115.54.54
- 37.61.229.104
- 37.61.229.106
- 43.254.218.104
- 43.254.218.114
- 43.254.218.43
- 43.254.218.57
- 43.254.218.98
- 45.116.13.153
- 45.121.50.230
- 45.128.221.169
- 45.128.221.172
- 45.128.221.182
- 45.128.221.186
- 45.128.221.229
- 45.128.221.61
- 45.128.221.66
- 45.133.238.234
- 45.134.169.147
- 45.136.187.41
- 45.136.187.98
- 45.14.66.230
- 45.154.14.132
- 45.154.14.164
- 45.154.14.188
- 45.154.14.191
- 45.154.14.254
- 45.251.241.74
- 45.251.241.82
- 45.76.113.163
- 47.254.192.79
- 47.254.250.117
- 5.181.25.55
- 5.188.33.237
- 5.8.71.97
- 79.133.124.88
- 81.28.13.48
- 89.43.107.190
- 89.43.107.191
- 92.223.30.232
- 92.223.30.52
- 92.223.59.84
- 92.223.90.174
- 92.223.93.148
- 92.223.93.222
- 92.38.135.62
- 92.38.139.170
- 92.38.149.101
- 92.38.149.241
- 92.38.149.88
- 92.38.171.127
- 92.38.176.47
Domains
- df.micfkbeljacob.com
- goodjob36.publicvm.com
- goodluck23.jp.us
- helpinfo.publicvm.com
- hinitial.com
- jack.micfkbeljacob.com
- mailedc.publicvm.com
- micfkbeljacob.com
- t1.hinitial.com
- v2.hinitial.com
- v3.hinitial.com
- v4.hinitial.com
- v5.hinitial.com
SHA256
- 8b664300fff1238d6c741ac17294d714098c5653c3ef992907fc498655ff7c20
- b4aabfb8f0327370ce80970c357b84782eaf0aabfc70f5e7340746f25252d541
- c55ab8fdd060fb532c599ee6647d1d7b52a013e4d8d3223b361db86c1f43e845
- de14f22c88e552b61c62ab28d27a617fb8c0737350ca7c631de5680850282761
- f86ebeb6b3c7f12ae98fe278df707d9ebdc17b19be0c773309f9af599243d0a3
- fc2147ddd8613f08dd833b6966891de9e5309587a61e4b35408d56f43e72697e