SockDetour Malware

Una minaccia backdoor fileless e socketless è stata utilizzata per fornire ai criminali informatici l'accesso backdoor a computer già compromessi. La minaccia viene tracciata come il malware SockDetour e i dettagli sul suo funzionamento sono stati rilasciati in un rapporto dell'Unità 42 di Palo Alto Network.

Secondo i loro risultati, SockDeteour è riuscito a rimanere inosservato dalla comunità della sicurezza informatica per almeno tre anni dal 2019. Il suo scopo principale è fungere da canale backdoor secondario e consentire agli aggressori di mantenere la loro presenza sui computer presi di mira. La minaccia è estremamente furtiva, poiché esegue le sue operazioni caricando senza file processi di servizio legittimi e abusando dei socket di rete autentici dei processi correlati per connettere e mantenere il suo canale server Command-and-Control (C2, C&C) crittografato.

Attribuzione e obiettivi

I ricercatori di infosec dell'Unità 42 ritengono che SockDetour faccia parte del minaccioso arsenale di un gruppo APT (Advanced Persistent Threat) noto come APT27 o TiltedTemple. Il gruppo è noto per le sue precedenti operazioni rivolte a entità aziendali e agenzie che lavorano nei settori della difesa, aerospaziale, governativo, energetico, tecnologico e manifatturiero. L'obiettivo apparente delle operazioni dannose è lo spionaggio informatico.

I bersagli infettati da SockDetour si adattano al profilo già stabilito. Finora, il malware è stato identificato all'interno della rete di un contratto di difesa con sede negli Stati Uniti, mentre si ritiene che altri tre siano presi di mira dagli hacker.