Malware SockDetour

Bezsouborová a bezzásuvková hrozba zadních vrátek byla použita k zajištění přístupu kyberzločinců k již kompromitovaným počítačům. Hrozba je sledována jako malware SockDetour a podrobnosti o jeho fungování byly zveřejněny ve zprávě jednotky 42 Palo Alto Network.

Podle jejich zjištění se SockDeteour podařilo zůstat bez povšimnutí komunitou kybernetické bezpečnosti po dobu nejméně tří let od roku 2019. Jeho hlavním účelem je fungovat jako sekundární backdoor kanál a umožnit útočníkům udržet si přítomnost na cílených strojích. Hrozba je extrémně nenápadná, protože provádí své operace bezsouborovým načítáním legitimních servisních procesů a zneužíváním autentických síťových soketů souvisejících procesů k připojení a údržbě svého šifrovaného kanálu Command-and-Control (C2, C&C).

Atribuce a cíle

Výzkumníci z infosec na Unit 42 věří, že SockDetour je součástí hrozivého arzenálu skupiny APT (Advanced Persistent Threat) známé jako APT27 nebo TiltedTemple. Skupina je známá svými předchozími operacemi zaměřenými na korporátní subjekty a agentury působící v obranném, leteckém, vládním, energetickém, technologickém a výrobním sektoru. Zjevným cílem škodlivých operací je kybernetická špionáž.

Cíle infikované SockDetour odpovídají již zavedenému profilu. Doposud byl malware identifikován v rámci sítě jednoho obranného kontraktu se sídlem v USA, zatímco o třech dalších se předpokládá, že jsou cílem hackerů.