Palo Alto Networksの脅威インテリジェンスチームであるUnit 42は6月13日(米国時間)、「GALLIUM Expands Targeting Across Telecommunications, Government and Finance Sectors With New PingPull Tool」において、高度な持続的標的型攻撃(APT: Advanced Persistent Threat)グループであるGALLIUMが「PingPull」と呼ばれる新たなリモートアクセス型トロイの木馬を使用していると伝えた。Unit 42はGALLIUMなどの悪名高い持続的標的型攻撃グループの監視を積極的に行っているという。

  • GALLIUM Expands Targeting Across Telecommunications、Government and Finance Sectors With New PingPull Tool

    GALLIUM Expands Targeting Across Telecommunications, Government and Finance Sectors With New PingPull Tool

GALLIUM(またはSoftcellとも呼ばれる)は、東南アジア、ヨーロッパ、アフリカで事業展開している通信会社をターゲットにしている持続的標的型攻撃グループ。グループの地理的なターゲットや技術的な熟練度に加え、既知の中国のサイバー犯罪者が作ったマルウェアや技術を利用していることから、中国国家が支援している可能性が高いとされている。近年では通信会社だけでなく、アフガニスタン、オーストラリア、ベルギー、カンボジア、マレーシア、モザンビーク、フィリピン、ロシア、ベトナムなどの金融機関や政府機関などもターゲットにされている。

Unit 42の調査によると、最近GALLIUMが「PingPull」という新たなトロイの木馬型マルウェアを使ってサイバー攻撃を仕掛けているという。

このマルウェアはサイバー犯罪者に対してリバースシェルへのアクセスを提供し、侵入先のホストで任意のコマンドを実行できる機能を提供する。3つほど亜種が存在しており、提供される機能はほとんど同じだが、それぞれICMP、HTTP(S)、rawTCPと異なる3つのプロトコルを使ってC2サーバと通信する。Unit 42ではネットワーク監視の対象にICMPを含めている組織がほとんどないため、PingPullのC2通信検出を難しくしているのではないかと指摘している。

Unit 42は引き続きGALLIUMが東南アジア、ヨーロッパ、アフリカの通信・金融・政府機関に対して脅威であると警告している。