SockDetour Malware

En filløs og stikløs bagdørstrussel er blevet brugt til at give cyberkriminelle bagdørsadgang til allerede kompromitterede computere. Truslen spores som SockDetour-malwaren, og detaljer om dens drift blev offentliggjort i en rapport fra Palo Alto Networks Unit 42.

Ifølge deres resultater er det lykkedes SockDeteour at forblive ubemærket af cybersikkerhedssamfundet i mindst tre år siden 2019. Dets hovedformål er at fungere som en sekundær bagdørskanal og give angriberne mulighed for at bevare deres tilstedeværelse på de målrettede maskiner. Truslen er ekstremt snigende, da den udfører sine operationer ved at indlæse legitime serviceprocesser filløst og misbruge autentiske netværkssockets af de relaterede processer til at forbinde og vedligeholde sin krypterede Command-and-Control (C2, C&C) serverkanal.

Tilskrivning og mål

Infosec-forskerne ved Unit 42 mener, at SockDetour er en del af det truende arsenal af en APT-gruppe (Advanced Persistent Threat) kendt som APT27 eller TiltedTemple. Gruppen er kendt for sine tidligere aktiviteter rettet mod virksomhedsenheder og agenturer, der arbejder inden for forsvars-, rumfarts-, regerings-, energi-, teknologi- og fremstillingssektoren. Det tilsyneladende mål med de skadelige operationer er cyberspionage.

Målene inficeret med SockDetour passer til den allerede etablerede profil. Indtil videre er malwaren blevet identificeret i netværket af en amerikansk-baseret forsvarskontrakt, mens tre andre menes at være målrettet af hackerne.