Gallium còn có tên gọi khác là Soft Cell nổi tiếng với các cuộc tấn công nhắm mục tiêu vào các công ty viễn thông từ năm 2012. Nhóm tin tặc này được nhà nước hậu thuẫn có liên quan đến một loạt các cuộc tấn công nhắm vào 5 công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.
Tuy nhiên trong năm 2021, nhóm tin tặc này đã mở rộng phạm vi tấn công, bao gồm các tổ chức tài chính và các tổ chức chính phủ đặt tại Afghanistan, Australia, Bỉ, Campuchia, Malaysia, Mozambique, Philippines, Nga và cả Việt Nam.
Các nhà nghiên cứu cho biết PingPull là backdoor khó phát hiện vì nó sử dụng giao thức bản tin điều khiển Internet (Internet Control Message Protocol - ICMP) cho các giao tiếp lệnh và điều khiển (C&C).
PingPull dựa trên ngôn ngữ Visual C ++, giúp tin tặc có khả năng truy cập vào một reverse shell và chạy các lệnh tùy ý trên một máy chủ bị xâm nhập. Điều này bao gồm thao tác tệp, kiểm tra dung lượng lưu trữ và sửa đổi thuộc tính thời gian của tệp.
Các mẫu PingPull mà sử dụng giao thức ICMP Echo cho việc giao tiếp C&C sẽ giúp các gói truy vấn ICMP Echo (ping) kết nối được đến máy chủ C&C. Máy chủ C&C sau đó sẽ phản hồi các truy vấn Echo này bằng một gói Echo Reply để đưa ra các lệnh cho hệ thống.
Các biến thể PingPull cũng được xác định dựa trên HTTPS và TCP để giao tiếp với máy chủ C&C thay vì giao thức ICMP và hơn 170 địa chỉ IP được liên kết với nhóm tin tặc Gallium từ cuối năm 2020.
Chưa rõ các mạng lưới mục tiêu bị xâm phạm như thế nào, nhưng kẻ tấn công đã khai thác các ứng dụng có kết nối Internet để giành quyền truy cập ban đầu và triển khai phiên bản đã được sửa đổi của web shell Chopper đến từ Trung Quốc nhằm duy trì sự tồn tại trên hệ thống.
Các nhà nghiên cứu lưu ý: “Gallium vẫn là mối đe dọa nguy hiểm đối với các ngành viễn thông, tài chính và các tổ chức chính phủ Đông Nam Á, Châu Âu và Châu Phi. Mặc dù việc sử dụng giao thức ICMP không phải là một kỹ thuật mới, nhưng PingPull khiến cho việc phát hiện các kết nối giao tiếp C&C trở nên khó khăn hơn, vì rất ít tổ chức thực hiện kiểm tra lưu lượng ICMP trên mạng của họ".
Lê Phượng
13:00 | 21/07/2022
15:00 | 28/07/2022
13:00 | 02/08/2022
12:00 | 12/08/2022
18:00 | 16/08/2022
14:00 | 06/06/2022
09:00 | 23/08/2022
13:00 | 24/08/2022
10:00 | 14/06/2022
14:00 | 20/05/2022
14:00 | 31/08/2022
10:00 | 19/08/2022
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024