PingPull Trojan IOCs

Опубликовано

Palo Alto Unit 42 недавно обнаружило новый, трудно обнаруживаемый троян удаленного доступа под названием PingPull, используемый группой GALLIUM.

PingPull Trojan

PingPull способен использовать три протокола (ICMP, HTTP(S) и необработанный TCP) для командования и управления (C2). Хотя использование ICMP-туннелирования не является новой техникой, PingPull использует ICMP, чтобы усложнить обнаружение своих C2-коммуникаций, поскольку немногие организации применяют проверку ICMP-трафика в своих сетях.

PingPull был написан на Visual C++ и предоставляет возможность запускать команды и получать доступ к обратному командному интерпретатору на скомпрометированном узле. Существует три варианта PingPull, которые функционально одинаковы, но используют различные протоколы для связи со своим C2: ICMP, HTTP(S) и необработанный TCP. В каждом из вариантов PingPull создает пользовательскую строку со следующей структурой, которую он отправляет на C2 во всех взаимодействиях, и которую, как мы полагаем, сервер C2 будет использовать для уникальной идентификации взломанной системы:

PROJECT_[uppercase executable name]_[uppercase computer name]_[uppercase hexadecimal IP address]

Независимо от варианта, PingPull способен установить себя в качестве службы со следующим описанием:

Обеспечивает туннельное соединение с использованием технологий перехода на IPv6 (6to4, ISATAP, Port Proxy и Teredo), а также IP-HTTPS. Если эта служба остановлена, компьютер не будет иметь расширенных преимуществ подключения, которые обеспечивают эти технологии.

Описание полностью совпадает с описанием легитимной службы iphlpsvc, которую PingPull намеренно пытается имитировать, используя Iph1psvc для имени службы и IP He1per вместо IP Helper для отображения имени. Мы также видели образец PingPull, использующий такое же описание службы, но с именем службы Onedrive.

Три варианта PingPull имеют одинаковые команды, доступные в обработчиках команд. Команды, приведенные в таблице 1, показывают, что PingPull способен выполнять различные действия в файловой системе, а также выполнять команды cmd.exe, который действует как обратная оболочка для агента.

Indicators of Compromise

IPv4

  • 101.36.102.34
  • 101.36.102.93
  • 101.36.114.167
  • 101.36.123.191
  • 103.116.47.65
  • 103.123.134.139
  • 103.123.134.145
  • 103.123.134.161
  • 103.123.134.165
  • 103.123.134.240
  • 103.137.185.249
  • 103.169.91.93
  • 103.169.91.94
  • 103.170.132.199
  • 103.179.188.93
  • 103.192.226.43
  • 103.22.183.131
  • 103.22.183.138
  • 103.22.183.141
  • 103.22.183.146
  • 103.51.145.143
  • 103.61.139.71
  • 103.61.139.72
  • 103.61.139.74
  • 103.61.139.75
  • 103.61.139.78
  • 103.61.139.79
  • 103.78.242.62
  • 103.85.24.121
  • 103.85.24.81
  • 107.150.110.233
  • 107.150.112.211
  • 107.150.127.124
  • 107.150.127.140
  • 118.193.56.130
  • 118.193.56.131
  • 118.193.62.232
  • 123.58.196.208
  • 123.58.198.205
  • 123.58.203.19
  • 128.14.232.56
  • 137.220.55.38
  • 146.185.218.176
  • 146.185.218.65
  • 152.32.165.70
  • 152.32.203.199
  • 152.32.221.222
  • 152.32.221.242
  • 152.32.245.157
  • 152.32.255.145
  • 154.222.238.50
  • 154.222.238.51
  • 165.154.52.41
  • 165.154.70.51
  • 165.154.70.62
  • 167.88.182.107
  • 167.88.182.166
  • 176.113.68.12
  • 176.113.71.168
  • 176.113.71.62
  • 185.101.139.176
  • 185.239.226.203
  • 185.239.227.12
  • 185.239.227.34
  • 188.241.250.152
  • 188.241.250.153
  • 193.187.117.144
  • 194.29.100.173
  • 196.46.190.27
  • 2.58.242.229
  • 2.58.242.230
  • 2.58.242.231
  • 2.58.242.232
  • 2.58.242.235
  • 2.58.242.236
  • 202.87.223.27
  • 212.115.54.241
  • 212.115.54.54
  • 37.61.229.104
  • 37.61.229.106
  • 43.254.218.104
  • 43.254.218.114
  • 43.254.218.43
  • 43.254.218.57
  • 43.254.218.98
  • 45.116.13.153
  • 45.121.50.230
  • 45.128.221.169
  • 45.128.221.172
  • 45.128.221.182
  • 45.128.221.186
  • 45.128.221.229
  • 45.128.221.61
  • 45.128.221.66
  • 45.133.238.234
  • 45.134.169.147
  • 45.136.187.41
  • 45.136.187.98
  • 45.14.66.230
  • 45.154.14.132
  • 45.154.14.164
  • 45.154.14.188
  • 45.154.14.191
  • 45.154.14.254
  • 45.251.241.74
  • 45.251.241.82
  • 45.76.113.163
  • 47.254.192.79
  • 47.254.250.117
  • 5.181.25.55
  • 5.188.33.237
  • 5.8.71.97
  • 79.133.124.88
  • 81.28.13.48
  • 89.43.107.190
  • 89.43.107.191
  • 92.223.30.232
  • 92.223.30.52
  • 92.223.59.84
  • 92.223.90.174
  • 92.223.93.148
  • 92.223.93.222
  • 92.38.135.62
  • 92.38.139.170
  • 92.38.149.101
  • 92.38.149.241
  • 92.38.149.88
  • 92.38.171.127
  • 92.38.176.47

Domains

  • df.micfkbeljacob.com
  • goodjob36.publicvm.com
  • goodluck23.jp.us
  • helpinfo.publicvm.com
  • hinitial.com
  • jack.micfkbeljacob.com
  • mailedc.publicvm.com
  • micfkbeljacob.com
  • t1.hinitial.com
  • v2.hinitial.com
  • v3.hinitial.com
  • v4.hinitial.com
  • v5.hinitial.com

SHA256

  • 8b664300fff1238d6c741ac17294d714098c5653c3ef992907fc498655ff7c20
  • b4aabfb8f0327370ce80970c357b84782eaf0aabfc70f5e7340746f25252d541
  • c55ab8fdd060fb532c599ee6647d1d7b52a013e4d8d3223b361db86c1f43e845
  • de14f22c88e552b61c62ab28d27a617fb8c0737350ca7c631de5680850282761
  • f86ebeb6b3c7f12ae98fe278df707d9ebdc17b19be0c773309f9af599243d0a3
  • fc2147ddd8613f08dd833b6966891de9e5309587a61e4b35408d56f43e72697e

Похожие записи:

  1. Tropical Scorpius Ransomware IOCs
  2. 00519ead Trojan
  3. 9002 Trojan
  4. Распространение вредоносных файлов через рекламу GIMP в Google
  5. Trojan.HiddenAds IOCs
GALLIUM Palo Alto PingPull trojan
Добавить комментарий