SockDetour 악성 코드

파일리스 및 소켓리스 백도어 위협은 사이버 범죄자에게 이미 손상된 컴퓨터에 대한 백도어 액세스를 제공하는 데 사용되었습니다. 위협은 SockDetour 악성코드로 추적되고 있으며, 그 작동에 대한 세부 정보는 Palo Alto Network의 Unit 42 보고서에서 발표되었습니다.

그들의 조사 결과에 따르면 SockDeteour는 2019년 이후로 최소 3년 동안 사이버 보안 커뮤니티에서 눈에 띄지 않는 상태로 유지되었습니다. 주요 목적은 보조 백도어 채널 역할을 하고 공격자가 대상 컴퓨터에서 자신의 존재를 유지할 수 있도록 하는 것입니다. 이 위협은 파일 없이 합법적인 서비스 프로세스를 로드하고 암호화된 명령 및 제어(C2, C&C) 서버 채널을 연결하고 유지하기 위해 관련 프로세스의 인증 네트워크 소켓을 남용하여 작업을 수행하기 때문에 매우 은밀합니다.

귀속 및 타겟

Unit 42의 infosec 연구원은 SockDetour가 APT27 또는 TiltedTemple로 알려진 APT(Advanced Persistent Threat) 그룹의 위협적인 무기고의 일부라고 믿습니다. 이 그룹은 방위, 항공 우주, 정부, 에너지, 기술 및 제조 부문에서 일하는 기업체 및 기관을 대상으로 한 이전 작업으로 유명합니다. 유해한 작업의 명백한 목표는 사이버 스파이입니다.

SockDetour에 감염된 대상은 이미 설정된 프로필에 맞습니다. 지금까지 멀웨어는 한 미국 기반 방위 계약의 네트워크 내부에서 식별되었으며 나머지 3개는 해커의 표적이 된 것으로 여겨집니다.