תוכנת זדונית SockDetour
נעשה שימוש באיום דלת אחורית ללא קבצים וללא שקעים כדי לספק לפושעי סייבר גישה בדלת אחורית למחשבים שכבר נפגעו. האיום נמצא במעקב כתוכנה זדונית SockDetour, ופרטים על פעולתו פורסמו בדו"ח של יחידת 42 של Palo Alto Network.
על פי הממצאים שלהם, SockDeteour הצליח להישאר ללא תשומת לב לקהילת אבטחת הסייבר במשך שלוש שנים לפחות מאז 2019. מטרתו העיקרית היא לשמש כערוץ דלת אחורית משני ולאפשר לתוקפים לשמור על נוכחותם במכונות הממוקדות. האיום הוא חמקני ביותר, שכן הוא מבצע את פעולותיו על ידי טעינת תהליכי שירות חוקיים ללא קבצים וניצול לרעה של שקעי רשת אותנטיים של התהליכים הקשורים כדי להתחבר ולתחזק את ערוץ השרת המוצפן שלו לפיקוד ושליטה (C2, C&C).
ייחוס ויעדים
חוקרי ה-infosec ביחידה 42 מאמינים ש-SockDetour הוא חלק מהארסנל המאיים של קבוצת APT (Advanced Persistent Threat) הידועה בשם APT27 או TiltedTemple. הקבוצה ידועה בפעילותה הקודמת מול גופים וסוכנויות תאגידיות הפועלות במגזרי הביטחון, התעופה והחלל, הממשל, האנרגיה, הטכנולוגיה והייצור. המטרה לכאורה של המבצעים המזיקים היא ריגול סייבר.
המטרות הנגועות ב-SockDetour מתאימות לפרופיל שכבר הוקם. עד כה, התוכנה הזדונית זוהתה ברשת של חוזה הגנה אחד מבוסס ארה"ב, בעוד ששלושה אחרים אמורים להיות ממוקדים על ידי ההאקרים.
