Зловреден софтуер SockDetour

Използвана е бекдор заплаха без файл и сокет, за да се предостави на киберпрестъпниците бекдор достъп до вече компрометирани компютри. Заплахата се проследява като злонамерен софтуер SockDetour и подробности за нейната работа бяха публикувани в доклад от Unit 42 на Palo Alto Network.

Според техните констатации, SockDeteour е успял да остане незабелязан от общността за киберсигурност в продължение на поне три години от 2019 г. Основната му цел е да действа като вторичен бекдор канал и да позволи на нападателите да запазят присъствието си на насочените машини. Заплахата е изключително скрита, тъй като изпълнява своите операции, като зарежда легитимни сервизни процеси безфайлово и злоупотребява с автентични мрежови гнезда на свързаните процеси, за да се свърже и поддържа своя криптиран сървърен канал за командване и управление (C2, C&C).

Приписване и цели

Изследователите на infosec от Unit 42 вярват, че SockDetour е част от заплашителния арсенал на група APT (Advanced Persistent Threat), известна като APT27 или TiltedTemple. Групата е известна с предишните си операции, насочени към корпоративни субекти и агенции, работещи в отбранителния, аерокосмическия, държавния, енергийния, технологичния и производствения сектор. Явната цел на вредоносните операции е кибершпионаж.

Целите, заразени със SockDetour, отговарят на вече установения профил. Досега зловредният софтуер е идентифициран в мрежата на един базиран в САЩ договор за отбрана, докато други три се смята, че са насочени от хакерите.