SockDetour skadelig programvare

En filløs og socketfri bakdørstrussel har blitt brukt for å gi nettkriminelle bakdørstilgang til allerede kompromitterte datamaskiner. Trusselen spores som SockDetour-malware, og detaljer om driften ble utgitt i en rapport fra Palo Alto Networks Unit 42.

Ifølge funnene deres har SockDeteour blitt klart å forbli ubemerket av nettsikkerhetssamfunnet i minst tre år siden 2019. Hovedformålet er å fungere som en sekundær bakdørskanal og la angriperne opprettholde sin tilstedeværelse på de målrettede maskinene. Trusselen er ekstremt snikende, ettersom den utfører sine operasjoner ved å laste inn legitime tjenesteprosesser filløst og misbruke autentiske nettverkskontakter for de relaterte prosessene for å koble til og vedlikeholde sin krypterte Command-and-Control (C2, C&C) serverkanal.

Attribusjon og mål

Infosec-forskerne ved Unit 42 mener at SockDetour er en del av det truende arsenalet til en APT-gruppe (Advanced Persistent Threat) kjent som APT27 eller TiltedTemple. Gruppen er kjent for sine tidligere operasjoner rettet mot bedriftsenheter og byråer som jobber innen forsvar, romfart, myndigheter, energi, teknologi og produksjonssektoren. Det tilsynelatende målet med de skadelige operasjonene er cyberspionasje.

Målene infisert med SockDetour passer til den allerede etablerte profilen. Så langt har skadevaren blitt identifisert i nettverket til en USA-basert forsvarskontrakt, mens tre andre antas å være målrettet av hackerne.