SockDetour Malware
साइबर अपराधियों को पहले से ही छेड़छाड़ किए गए कंप्यूटरों तक पिछले दरवाजे तक पहुंच प्रदान करने के लिए एक फाइललेस और सॉकेटलेस बैकडोर खतरे का उपयोग किया गया है। खतरे को SockDetour Malware के रूप में ट्रैक किया जा रहा है, और इसके संचालन के बारे में विवरण पालो ऑल्टो नेटवर्क की यूनिट 42 की एक रिपोर्ट में जारी किया गया था।
उनके निष्कर्षों के अनुसार, 2019 के बाद से कम से कम तीन वर्षों के लिए SockDetour को साइबर सुरक्षा समुदाय द्वारा किसी का ध्यान नहीं जाने दिया गया है। इसका मुख्य उद्देश्य एक माध्यमिक पिछले दरवाजे के रूप में कार्य करना है और हमलावरों को लक्षित मशीनों पर अपनी उपस्थिति बनाए रखने की अनुमति देना है। यह खतरा अत्यंत गुप्त है, क्योंकि यह अपने एन्क्रिप्टेड कमांड-एंड-कंट्रोल (C2, C & C) सर्वर चैनल को जोड़ने और बनाए रखने के लिए कानूनी सेवा प्रक्रियाओं को फ़ाइल रूप से लोड करके और संबंधित प्रक्रियाओं के प्रामाणिक नेटवर्क सॉकेट का दुरुपयोग करके अपना संचालन करता है।
एट्रिब्यूशन और लक्ष्य
यूनिट 42 के इन्फोसेक शोधकर्ताओं का मानना है कि सॉकडेटौर एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह के खतरनाक शस्त्रागार का हिस्सा है जिसे एपीटी 27 या टिल्टेड टेम्पल के नाम से जाना जाता है। समूह अपने पिछले कार्यों के लिए जाना जाता है जो रक्षा, एयरोस्पेस, सरकार, ऊर्जा, प्रौद्योगिकी और विनिर्माण क्षेत्रों में काम करने वाली कॉर्पोरेट संस्थाओं और एजेंसियों को लक्षित करता है। हानिकारक संचालन का स्पष्ट लक्ष्य साइबर जासूसी है।
SockDetour से संक्रमित लक्ष्य पहले से स्थापित प्रोफ़ाइल में फिट बैठते हैं। अब तक, मैलवेयर को एक यूएस-आधारित रक्षा अनुबंध के नेटवर्क के अंदर पहचाना गया है, जबकि तीन अन्य को हैकर्स द्वारा लक्षित माना जाता है।
