SockDetour Malware

Er is een fileless en socketless backdoor-bedreiging gebruikt om cybercriminelen backdoor-toegang te bieden tot reeds gecompromitteerde computers. De dreiging wordt gevolgd als de SockDetour-malware en details over de werking ervan zijn vrijgegeven in een rapport van Unit 42 van Palo Alto Network.

Volgens hun bevindingen is SockDeteour erin geslaagd om sinds 2019 minstens drie jaar onopgemerkt te blijven door de cyberbeveiligingsgemeenschap. Het belangrijkste doel is om te fungeren als een secundair achterdeurkanaal en de aanvallers in staat te stellen hun aanwezigheid op de beoogde machines te behouden. De dreiging is extreem onopvallend, omdat het zijn operaties uitvoert door legitieme serviceprocessen bestandloos te laden en authentieke netwerksockets van de gerelateerde processen te misbruiken om zijn gecodeerde Command-and-Control (C2, C&C) serverkanaal te verbinden en te onderhouden.

Attributie en doelen

De infosec-onderzoekers van Unit 42 zijn van mening dat SockDetour deel uitmaakt van het dreigende arsenaal van een APT-groep (Advanced Persistent Threat) die bekend staat als APT27 of TiltedTemple. De groep staat bekend om zijn eerdere operaties gericht op bedrijfsentiteiten en agentschappen die werkzaam zijn in de sectoren defensie, ruimtevaart, overheid, energie, technologie en productie. Het schijnbare doel van de schadelijke operaties is cyberspionage.

De doelwitten die besmet zijn met SockDetour passen in het reeds vastgestelde profiel. Tot nu toe is de malware geïdentificeerd binnen het netwerk van een in de VS gevestigd defensiecontract, terwijl van drie andere wordt aangenomen dat ze het doelwit zijn van de hackers.