SockDetour rosszindulatú program

Fájl nélküli és aljzat nélküli hátsó ajtó fenyegetést használtak arra, hogy a kiberbűnözők hátsó ajtón keresztül hozzáférjenek a már feltört számítógépekhez. A fenyegetést SockDetour rosszindulatú programként követik nyomon, működéséről pedig a Palo Alto Network 42-es egysége közölt jelentést.

Megállapításaik szerint a SockDeteourt 2019 óta legalább három évig sikerült észrevétlenül maradnia a kiberbiztonsági közösség számára. Fő célja, hogy másodlagos hátsó ajtóként működjön, és lehetővé tegye a támadók számára, hogy megőrizzék jelenlétüket a megcélzott gépeken. A fenyegetés rendkívül lopakodó, mivel műveleteit legális szolgáltatási folyamatok fájlmentes betöltésével végzi, és a kapcsolódó folyamatok hiteles hálózati socketjeivel visszaél a titkosított Command-and-Control (C2, C&C) szervercsatornájának összekapcsolása és karbantartása érdekében.

Hozzárendelés és célok

A 42-es egység infosec kutatói úgy vélik, hogy a SockDetour az APT27 vagy TiltedTemple néven ismert APT (Advanced Persistent Threat) csoport fenyegető fegyvertárának része. A csoport korábbi tevékenységeiről ismert, amelyek a védelmi, repülési, kormányzati, energia-, technológiai és gyártási szektorban dolgozó vállalati egységeket és ügynökségeket célozták meg. A káros műveletek látszólagos célja a kiberkémkedés.

A SockDetour-ral fertőzött célpontok illeszkednek a már kialakult profilhoz. Eddig egy amerikai védelmi szerződés hálózatán belül azonosították a rosszindulatú programot, míg három másikat a hackerek célpontjaként feltételezik.