サイバースパイ攻撃で新しいPingPullマルウェアを使用する中国の「ガリウム」ハッカー from thehackernews.com
security summary
PingPullと呼ばれる「検出が難しい」バックドアは、コマンドアンドコントロール(C2)通信にインターネット制御メッセージプロトコル(ICMP)を使用していることで注目に値します。
Visual C ++ベースのマルウェアであるPingPullは、攻撃者にリバースシェルにアクセスし、侵入先のホスト上で任意のコマンドを実行する機能を提供します。
「C2通信にICMPを使用するPingPullサンプルは、C2サーバーにICMPエコー要求(ping)パケットを発行します」と研究者は詳細に説明しました。
「C2サーバーは、これらのEcho要求にEcho Replyパケットで応答して、システムにコマンドを発行します。」
また、2020年後半以降にグループに関連付けられたICMPおよび170を超えるIPアドレスの代わりにC2サーバーと通信するためにHTTPSおよびTCPに依存するPingPullバリアントも識別されます。
コメント