SockDetour Malware

Uma ameaça de backdoor sem arquivo e sem soquete foi usada para fornecer aos cibercriminosos acesso por um  backdoor aos computadores já comprometidos. A ameaça está sendo rastreada como o malware SockDetour, e detalhes sobre sua operação foram divulgados em um relatório da Unidade 42 da Palo Alto Network.

De acordo com suas descobertas, o SockDeteour passou despercebido pela comunidade de segurança cibernética por pelo menos três anos desde 2019. Seu principal objetivo é atuar como um canal secundário de backdoor e permitir que os invasores mantenham sua presença nas máquinas visadas. A ameaça é extremamente furtiva, pois executa suas operações carregando processos de serviço legítimos sem arquivos e abusando de soquetes de rede autênticos dos processos relacionados para conectar e manter seu canal de servidor de Comando e Controle (C2, C&C) criptografado.

Atribuição e Metas

Os pesquisadores de infosec da Unidade 42 acreditam que o SockDetour faz parte do arsenal ameaçador de um grupo APT (Advanced Persistent Threat) conhecido como APT27 ou TiltedTemple. O grupo é conhecido por suas operações anteriores visando entidades corporativas e agências que trabalham nos setores de defesa, aeroespacial, governo, energia, tecnologia e manufatura. O objetivo aparente das operações prejudiciais é a espionagem cibernética.

Os alvos infectados pelo SockDetour se enquadram no perfil já estabelecido. Até agora, o malware foi identificado dentro da rede de um contrato de defesa com sede nos EUA, enquanto outros três são considerados alvos dos hackers.