SockDetour Malware

Bezplikowe i bezgniazdowe zagrożenie backdoorem zostało wykorzystane do zapewnienia cyberprzestępcom dostępu do już zaatakowanych komputerów przez backdoora. Zagrożenie jest śledzone jako złośliwe oprogramowanie SockDetour, a szczegóły dotyczące jego działania zostały opublikowane w raporcie jednostki Palo Alto Network's Unit 42.

Zgodnie z ich ustaleniami, SockDeteour był niezauważany przez społeczność cyberbezpieczeństwa przez co najmniej trzy lata od 2019 roku. Jego głównym celem jest działanie jako dodatkowy kanał backdoora i umożliwienie atakującym utrzymanie swojej obecności na atakowanych maszynach. Zagrożenie jest niezwykle ukryte, ponieważ wykonuje swoje operacje, ładując legalne procesy usługowe bez plików i nadużywając autentycznych gniazd sieciowych powiązanych procesów, aby połączyć się i utrzymać zaszyfrowany kanał serwera Command-and-Control (C2, C&C).

Atrybucja i cele

Badacze infosec z Unit 42 uważają, że SockDetour jest częścią groźnego arsenału grupy APT (Advanced Persistent Threat) znanej jako APT27 lub TiltedTemple. Grupa znana jest z wcześniejszych działań skierowanych do podmiotów korporacyjnych i agencji działających w sektorach obronnym, lotniczym, rządowym, energetycznym, technologicznym i produkcyjnym. Oczywistym celem szkodliwych operacji jest cyberszpiegostwo.

Cele zainfekowane SockDetour pasują do już ustalonego profilu. Jak dotąd złośliwe oprogramowanie zostało zidentyfikowane w sieci jednego kontraktu obronnego z USA, podczas gdy trzy inne są uważane za cel ataków hakerów.