Alerte - Outil d’accès à distance MPA PingPull

Numéro : AL22-009
Date : 13 juin 2022

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Vue d’ensemble

Le 13 juin 2022, l’Unité 42 de Palo Alto a publié un rapport sur PingPull, un maliciel MalicielLogiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires. de porte dérobée Porte dérobéeMoyen non recensé qui permet, discrètement ou anonymement, d'accéder à distance à un ordinateur après avoir contourné les mécanismes d'authentification et s'être donné accès au texte en clair. exploité par un auteur de menace doté de moyens sophistiqués.

Détails

Le 13 juin 2022, l’Unité 42 de Palo Alto Networks a publié un rapport ^{Note de bas de page 1} qui décrit en détail un nouvel outil d’accès à distance (RAT pour Remote Access Tool), nommé PingPull, utilisé par un auteur de menace persistante avancée (MPA). Cet auteur mène des activités malveillantes depuis au moins 2012 et cible des fournisseurs de télécommunications, des institutions financières et des entités gouvernementales.

PingPull est une porte dérobée légère prenant en charge le protocole de transfert hypertexte (HTTP pour Hypertext Transfert Protocol) et le protocole de message de contrôle Internet (ICMP pour Internet Control Message Protocol). Cet outil permet aux auteurs de menaces d’exécuter des commandes et d’accéder à l’hôte compromis en créant un tunnel inversé.

De façon générale, le maliciel installé possède les capacités suivantes :

• dresser la liste des lecteurs et des répertoires du système;
• copier, déplacer, lire, écrire, modifier et supprimer des fichiers et des répertoires;
• lancer des processus;
• chiffrer des communications.

PingPull se fait passer pour un service « iphlpsvc » légitime et se connecte à une infrastructure en se servant de certificats configurés de façon inhabituelle. ^{Note de bas de page 1}

Le Centre pour la cybersécurité a reçu des rapports indiquant que des organisations du Canada avaient été touchées par ce maliciel.

Mesures recommandées

Afin de renforcer la posture défensive des réseaux essentiels et de réduire le risque d’infection, le Centre pour la cybersécurité recommande aux organisations de passer en revue les indicateurs de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. inclus dans le rapport de l’Unité 42 de Palo Alto Networks et de prendre les mesures nécessaires. ^{Note de bas de page 1}

Comme il n’a pas vérifié les détails techniques mentionnés dans la divulgation en question, le Centre pour la cybersécurité fournit la présente information telle quelle à des fins de sensibilisation et de prise de mesures potentielles. Avant de mettre en œuvre l’une des recommandations susmentionnées, il conviendra pour les organisations de vérifier l’incidence possible sur ses services et ses environnements en réseau.

S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).