SockDetour kenkėjiška programa

Užpakalinių durų grėsmė be failų ir lizdų buvo panaudota siekiant suteikti kibernetiniams nusikaltėliams užpakalinių durų prieigą prie jau pažeistų kompiuterių. Grėsmė stebima kaip SockDetour kenkėjiška programa, o išsami informacija apie jos veikimą buvo paskelbta Palo Alto tinklo 42 skyriaus ataskaitoje.

Remiantis jų išvadomis, „SockDeteour“ sugebėjo išlikti nepastebėtai kibernetinio saugumo bendruomenės mažiausiai trejus metus nuo 2019 m. Jo pagrindinis tikslas – veikti kaip antrinis užpakalinių durų kanalas ir leisti užpuolikams išlaikyti savo buvimą tikslinėse mašinose. Grėsmė yra labai slapta, nes ji atlieka savo operacijas įkeldama teisėtus paslaugų procesus be failų ir piktnaudžiaudama susijusių procesų autentiškais tinklo lizdais, kad prisijungtų ir palaikytų savo šifruotą komandų ir valdymo (C2, C&C) serverio kanalą.

Priskyrimas ir tikslai

42 skyriaus infosec tyrėjai mano, kad SockDetour yra grėsmingo APT (Advanced Persistent Threat) grupės, žinomos kaip APT27 arba TiltedTemple, arsenalo dalis. Grupė žinoma dėl savo ankstesnių operacijų, nukreiptų į korporatyvinius subjektus ir agentūras, dirbančias gynybos, aviacijos, vyriausybės, energetikos, technologijų ir gamybos sektoriuose. Akivaizdus žalingų operacijų tikslas – kibernetinis šnipinėjimas.

„SockDetour“ užkrėsti taikiniai atitinka jau nustatytą profilį. Iki šiol kenkėjiška programa buvo identifikuota vienos JAV gynybos sutarties tinkle, o dar trys, kaip manoma, yra įsilaužėlių taikiniai.