SockDetour البرامج الضارة
تم استخدام تهديد الباب الخلفي الخالي من الملفات والمآخذ لتزويد مجرمي الإنترنت بوصول خلفي إلى أجهزة الكمبيوتر التي تم اختراقها بالفعل. يتم تعقب التهديد باعتباره برنامج SockDetour الضار ، وتم نشر تفاصيل حول عمليته في تقرير صادر عن الوحدة 42 التابعة لشبكة بالو ألتو.
وفقًا للنتائج التي توصلوا إليها ، تمكنت SockDeteour من البقاء دون أن يلاحظها أحد من قبل مجتمع الأمن السيبراني لمدة ثلاث سنوات على الأقل منذ عام 2019. والغرض الرئيسي منها هو العمل كقناة خلفية ثانوية والسماح للمهاجمين بالحفاظ على وجودهم على الأجهزة المستهدفة. يعد التهديد متخفيًا للغاية ، حيث يؤدي عملياته عن طريق تحميل عمليات الخدمة الشرعية بدون ملفات وإساءة استخدام مآخذ الشبكة الأصلية للعمليات ذات الصلة للاتصال والحفاظ على قناة خادم الأوامر والتحكم (C2 ، C&C) المشفرة.
الإسناد والأهداف
يعتقد باحثو إنفوسيك في الوحدة 42 أن SockDetour هو جزء من ترسانة التهديد لمجموعة APT (التهديد المستمر المتقدم) المعروفة باسم APT27 أو TiltedTemple. تشتهر المجموعة بعملياتها السابقة التي تستهدف الشركات والوكالات العاملة في قطاعات الدفاع والطيران والحكومة والطاقة والتكنولوجيا والتصنيع. الهدف الواضح للعمليات الضارة هو التجسس الإلكتروني.
تتوافق الأهداف المصابة بـ SockDetour مع الملف الشخصي المحدد بالفعل. حتى الآن ، تم التعرف على البرنامج الضار داخل شبكة عقد دفاعي مقره الولايات المتحدة ، بينما يُعتقد أن ثلاثة آخرين مستهدفون من قبل المتسللين.
