Chinese cyberspionagegroep GALLIUM breidt doelwitten uit naar financiële instellingen en overheidsinstanties

Amsterdam, 13 juni 2022 – Palo Alto Networks Unit 42 heeft een blog gepubliceerd over een nieuwe actieve Chinese APT (Advanced Persistent Threat) spionagecampagne van GALLIUM (ook bekend als Softcell) die zich richt op nationale telecom- en internet service providers (ISP) in 9 landen.

Nieuwe bevindingen zijn onder andere:

• Unit 42 heeft ontdekt dat de groep zijn doelwitten heeft uitgebreid naar financiële instellingen en overheidsinstanties.
• De groep is ook begonnen met het gebruik van een nieuwe RAT (remote access trojan) genaamd PingPull.
• PingPull kan met zijn commando- en controleserver via ICMP communiceren, waardoor het moeilijker te detecteren is, aangezien maar weinig organisaties ICMP-verkeer op hun netwerken inspecteren.

Uit de analyse van Unit 42 kwam naar voren dat GALLIUM zich heeft gericht op 9 landen: Afghanistan, Australië, België, Cambodja, Maleisië, Mozambique, de Filipijnen, Rusland en Vietnam.

De volgende activiteiten werden vastgesteld:

• Vorige maand zag Unit 42 hoe Gallium meer dan 2.600 verbindingspogingen initieerde bij 16x verschillende overheidsinstanties en bureaus van de Filipijnen.
• Activiteiten gericht op een Russische bank
• Tussen 20 april en vandaag hebben actoren van Gallium zich gericht op overheidsinstanties in de Filipijnen, Maleisië en Mozambique.
• Naast de uitgebreide targeting, ziet Unit 42 nog steeds dat nationale internet service providers en telecomproviders doelwitten zijn via GALLIUM.

Unit 42 publiceert dit onderzoek om de aandacht te vestigen op een APT die grotendeels onder de radar heeft geopereerd, terwijl deze zich richtte op de kern van het internet (nationale telecomaanbieders) en onze overheidsinstellingen. Daarnaast publiceren ze actuele IOC’s (actief in de afgelopen 30 dagen) om organisaties in staat te stellen potentiële cyberbeveiligingsrisico’s te identificeren en zich uiteindelijk tegen deze bedreigingsgroep te verdedigen.

GALLIUM is actief sinds 2012 en werd door Microsoft genoemd toen zij in 2019 over de groep publiceerden. Sindsdien heeft slechts één andere leverancier (CyberReason) over deze groep gepubliceerd, wat aantoont dat ze in staat zijn om grotendeels onopgemerkt te opereren.

Het belang van deze inspanning wordt benadrukt door de actieve samenwerking tussen Unit 42 en het NSA Cybersecurity Collaboration Center, het Australische Cyber Security Centre, en andere overheidspartners aan dit onderzoek.

Hier vind je het blog van Unit 42.

Laat het ons weten als je graag met iemand verder wilt praten over GALLIUM en het blog van Unit 42.