Den kinesiske statssponsorerede trusselskuespiller Alloy Taurus har vist sig at have introduceret en ny variant af PingPull-malwaren specielt designet til at målrette mod Linux-systemer, ifølge en rapport fra Palo Alto Networks.
Forskerne identificerede også en anden bagdør kaldet Sword2033. Alloy Taurus har været aktiv siden 2012 og er kendt for at gennemføre cyberspionagekampagner på tværs af Asien, Europa og Afrika, hovedsageligt rettet mod teleselskaber. Men i de senere år er det også blevet observeret målrettet mod finansielle og statslige institutioner.
Forskerne opdagede først PingPull-malwaren i september 2021, og i juni 2022 skitserede de værktøjets funktionalitet og tilskrev det til Alloy Taurus. PingPull er en trojaner med fjernadgang, der bruger Internet Control Message Protocol (ICMP) til kommando-og-kontrol-kommunikation. Den nye Linux-variant af PingPull blev identificeret i marts, og tre ud af 62 leverandører fandt, at prøven var ondsindet.
Linux-varianten af PingPull bruger et statisk linket OpenSSL-bibliotek til at interagere med C2-domænet over HTTPS. Det giver angriberne mulighed for at liste, læse, skrive, kopiere, omdøbe og slette filer samt køre kommandoer. PingPull deler også nogle funktioner, HTTP-parametre og kommandohandlere med China Chopper-webshell. En anden bagdør kaldet Sword2033 blev også identificeret af forskerne, som udfører tre funktioner: uploader en fil til systemet, downloader en fil fra systemet og udfører en kommando.
Mens IP-adresserne på C2-domænerne ikke viser nogen forbindelse med den sydafrikanske regering, sagde forskere, at domænenavnet giver indtryk af en forbindelse til det sydafrikanske militær. Ved at analysere trafikken til Sword2033 C2-serveren identificerede forskere vedvarende forbindelser, der stammer fra en IP, der er vært for flere underdomæner for en organisation, der finansierer langsigtede infrastruktur projekter for byudvikling i Nepal.
"Aloy Taurus er fortsat en aktiv trussel mod telekommunikation, finans og regeringsorganisationer på tværs af Sydøstasien, Europa og Afrika," sagde forskningsrapporten. For at beskytte sig selv skal organisationer fokusere på at forbedre deres netværkssikkerhed, end-point sikkerhed og sikkerhedsautomatisering, tilføjede Palo Alto Networks.
Comments